十日市場駅

初回無料相談

お問い合わせ

0120-692-916

受付・営業時間 8:30~17:30 (平日)

コラム

2024.04.10
中小企業のサイバーセキュリティ 具体的にはどうすればいい?

サイバー攻撃の脅威とリスク事例

サイバー攻撃の脅威は、身近に迫っています。サイバー攻撃のニュースを見て「対岸の火事」と思っているのなら、その考えは改めた方が良いでしょう。サイバー攻撃は、ありとあらゆる手段を用いて企業の情報を狙っています。手口とそのターゲットは以下の通りです。。

サイバー攻撃の手口

サイバー攻撃を受けた企業は、あらゆる面で大きな損害を被ります。その手口は巧妙で、年々増加しています。主なサイバー攻撃の手口は以下の通りです。

・マルウエア
利用者に損害をもたらすことを目的とした悪意のあるソフトウエアの総称です。他のプログラムを媒介として感染を広げる「ウイルス」、自己増殖することで強い感染力を持つ「ワーム」、内部に潜み情報を流出される「スパイウエア」などがあります。近年では、端末やファイルを使用不能にし、その回復と引き換えに身代金を要求する「ランサムウエア」も有名です。

・不正アクセス
アクセス権限を持たない者が、サーバーやシステム内部に不正に侵入することです。その結果、情報漏えいやデータの改ざん、システムが使用不能になるなどの被害が生じます。

・標的型攻撃
特定の組織や個人の情報を狙った攻撃で、マルウエア付きのメール(標的型攻撃メール)を用いる方法が知られています。不特定多数を対象としたばらまき型と違い、より巧妙なメールで偽装に気づきにくい点が特徴です。

・DoS攻撃(Denial of Services attack)・DDoS(Distributed Denial of Service Attack)攻撃
Dos攻撃とは、Webサイトやサーバーに対して大量のデータや処理要求を送りつけ、アクセス過多によるサイバーダウンを狙う攻撃です。1台の機器から行われるDoS攻撃に対して、DDoS攻撃では複数のPCを利用した大規模な攻撃が行われます。

・サプライチェーン攻撃
セキュリティ対策済みであろう大企業を直接攻撃するのではなく、下請けや取引先である中小企業を攻撃して突破口を開き、被害を広げていく方法です。

・内部不正
サイバーセキュリティ対策不足は、サイバー攻撃だけでなく内部不正を起こしやすい環境でもあります。従業員による重要情報等の窃取、持ち出しや漏えい、消去・破壊など、外から狙いやすい環境は内から破るのも容易です。

サイバー攻撃のターゲット

サイバー攻撃の目的はさまざまですが、ターゲットは「システム」と「情報」に大別できます。システムダウンによる営業妨害や評判低下などを狙う攻撃は、公共機関や大企業、ECサイトに対して行われることが多いでしょう。

一方、情報を目的とした攻撃は中小企業や個人事業主も標的になります。。

・自社情報
ネットバンキングの法人口座情報、法人契約しているクレジットカード情報、資金データなど。

・取引先情報
連絡先一覧、取引額や取引実績、契約内容、共同プロジェクト資料。
「取扱注意」として預かった機密情報など

・顧客情報
個人情報、金融機関情報、購入履歴など。

・従業員情報
個人情報、家族情報、給与情報、マイナンバーなど。

サイバーセキュリティ不足による5つのリスク

サイバー攻撃は目に見えないため、対策の必要性についてピンとこない方も多いのではないでしょうか。しかし、単にサイバー攻撃を受けた場合と、「対策不足であった」ことが明らかな場合では、自社が被る損害の大きさ、責任の重さが異なります。

ここからは、サイバーセキュリティ不足によってどのようなリスクが高まるのか、詳しく解説します。

リスク①金銭的損害

サイバー攻撃を受けたことによる「わかりやすい損失」は、2種類の金銭的損害です。

・直接的損失
不正送金(出金)やクレジットカードの不正利用などは、直接的な金銭被害を生じさせます。

・間接的損失
復旧や社内外対応では、時間外労働や機器の買い換えコストが発生します。外部の専門業者に緊急対応してもらう場合は割増料金になるかもしれません。

また、取引先を巻き込むような被害を起こしたときにセキュリティ不足が明らかになると、違約金や損害賠償金などを支払うことになるでしょう。これは、直接的損失よりも多額になる可能性が高く、経営悪化により会社が存続の危機に陥ることも考えられます。

リスク②営業機会の損失

ウイルスやランサムウエアといったマルウエアに感染すると、復旧まで通常業務が滞ります。コア業務を支えるシステムが停止した場合は、生産活動に大きな遅れが生じるでしょう。重要なデータが破損するような被害では、生産状況がリセットされ1からやり直しになることも考えられます。被害状況によっては復旧作業が長引き、営業機会の損失につながるかもしれません。

リスク③社会的信用の失墜

サイバーセキュリティ不足による情報の流出は、金銭的被害よりも深刻な被害をもたらすこととなるでしょう。それが、社会的信用の失墜です。セキュリティ管理不足や認識の甘さで失うものは、情報だけではありません。これまで積み上げてきた信頼関係は、一瞬で崩れるでしょう。再起を図ってもマイナス評価からのスタートになることは避けられません。

リスク④従業員への悪影響

セキュリティ対策の不備は、企業で働く従業員にも悪影響を与えます。

犯罪心理学での研究では、内部不正が起こる要素として「動機・機会・正当化」の3つを挙げています。「セキュリティ対策不足」は機会を生み、「対策していない企業が悪い」という「正当化」につながるでしょう。つまり、不正3要素のうち、2つを企業が提供していることになるのです。

また、セキュリティ対策が甘い企業は従業員の信用を失い、退職者が増えるおそれもあります。

リスク⑤事業継続困難

社会的信用は、ひとたび失われれば回復は困難です。たとえ企業の運営体制が復旧しても、取引先や顧客との関係も元通りというわけにはいきません。体勢を立て直している間に、取引先が同業他社と契約を結んでいたら、そう簡単には戻ってはこないでしょう。顧客も同様で、社会的信用を失った企業への不安感から購入を避けることが考えられます。取引先や顧客が減少すれば事業の継続は困難となります。将来的には、企業存続の危機に発展するおそれすらあります。

対策不足で問われる法的責任

事業主は、経営にベストを尽くすことが求められています。サイバー攻撃を受けた場合、被害者というだけでなく、対策を怠って第三者に損害を広げた加害者と見られることもあるでしょう。その場合、賠償責任や責任追及を受けることがあります。

経営者の義務である「善管注意」

企業の経営者は、民法・会社法により「取締役にふさわしくベストを尽くして経営に当たる義務(善管注意義務)」を負い「その任務を怠ったときは、株式会社に対し、これによって生じた損害を賠償する責任を負う。(任務懈怠(けたい))」と規定されています。

つまり、経営者は情報管理に対して「法的責任」と「社会的責任」があるというわけです。サイバー攻撃に対して万全なセキュリティ対策をとることが、その責任を果たすことになるでしょう。

もしも、経営者としてセキュリティ対策にベストを尽くさず、その結果としてサイバー攻撃を受けた場合には、損害を与えた取引先や顧客に対して損害賠償を負う責任義務があります。さらに、状況によっては、懲役や罰金などの刑罰が科せられることを覚えておきましょう。

対策不備の責任追及の根拠法案

情報セキュリティ対策に不備がある場合に責任追及の根拠になる法律は、下記の通りです。

・民法
サイバー攻撃により仕事が停滞した場合、他者に損害が発生した場合、法律上保護される利益を侵害した場合などは、善管注意義務違反により賠償の義務を負うとされています。

・会社法
企業の規模や業務内容に応じた適切なセキュリティ体制を整えていない状況下で、サイバー攻撃により企業や第三者に損害が発生した場合、損害賠償責任を負うとされています。

・割賦販売法
クレジットカード番号等取扱契約の締結にかかる業務に対して、番号情報を適切に管理する責任を負うとされています。

・外国為替及び外国貿易管理法、輸出貿易管理令
外為法では、特定の技術データ等を国外に持ち出す際のルールを厳しく定めています。この「国外持ち出し」とは海外サーバーへの保存も含まれているため、海外サーバーを利用する際はサーバーの安全性を確認するとともに、規制対象情報が含まれていないかどうか十分に確認しなくてはなりません。共同プロジェクトや関連企業の情報を得る可能性がある企業は、十分に配慮しましょう。

情報管理が不適切な場合の処罰

サイバー攻撃は、重大な2次被害を招くことが少なくありません。

セキュリティ対策不備によってサイバー攻撃を受け、IDやパスワード等の識別符号情報を外部に漏えいさせてしまうと、それを元凶とした不正アクセスにより取引先や顧客が2次被害を受ける可能性があります。

これは「不正アクセス行為の禁止等に関する法律」の「第5条不正アクセス行為を助長する行為の禁止」に該当する可能性があります。つまり、適切な対策をとらなかったことで不正アクセスの手助けをしたと見なされてしまうのです。

不正アクセスを助長したと判断された会社の経営者には「1年以下の懲役又は50万円等の罰金」が科せられます。できるはずの対策をせずに放置することは、処罰につながる重大な過失だというわけです。

まとめ

ここまで、サイバー攻撃のリスク、損害の大きさについて解説してきました。サイバーセキュリティ対策が、中小企業経営の安定に重要なことをご理解いただけたのではないでしょうか。

それぞれの企業規模や扱う情報によって、適切なセキュリティ対策は異なります。
社外対策だけでなく社内環境の改善も同時に行うのなら、クラウドシステムの導入が効果的でしょう。内部不正につながる「不正3要素」を排し、適切な情報管理環境を整えます。

弊社では、専門家が親身になってアドバイスをいたします。貴社の状況をヒアリングし、適切なツールの選定や導入のサポート、導入後のフォローも承ります。
まずは、無料相談やオンライン相談でお気軽にご相談ください。

>>お問い合わせはこちら

この記事を担当した税理士
株式会社YMG コンサルティングラボ 部長代理 興梠 貴裕
保有資格弥生インストラクター資格 / 日商簿記3級
専門分野IT
経歴業務系システム業界に身を置いて12年目。様々な業種のお客様のシステム導入に関する多くの相談実績が有り 導入実績も多数。常にお客様目線で対応し、お客様の課題解決に全力で取り組む姿勢に定評有。
専門家紹介はこちら

0120-692-916

受付時間:8:30〜17:30(平日)

経理サポートメニューsupport menu
弊社サービスのご利用の流れ

最新コラムcolumn

経理・労務で経営者へ
バックオフィス業務の改善に役立つノウハウ情報をお伝えします!

もっと見る
PAGETOP