2022年度第2回スキルアップ勉強会「いま知っておきたい中小企業のセキュリティ対策　～攻撃手口の理解から対策提案まで～」に参加して

城西支部　水越　嘉隆

城西支部 支部活性化委員会主催のスキルアップ勉強会第2回「いま知っておきたい中小企業のセキュリティ対策　～攻撃手口の理解から対策提案まで～」（講師：小寺博和会員） が、8月26日（金）になかのZERO会場とZoomのハイブリッド型式で開催されました。私が勤める会社でもセキュリティ対策の注意喚起メールが定期的に送られてきたり、標的型攻撃メール訓練の模擬メールが送られてきたりします（添付ファイルを開いてしまい反省文を書かされました）。これまで、セキュリティ対策はIT部門が考えることで、自分はその方針に従って気をつけてさえいればいいと、どこか他人ごとのように考えていました。しかし、もしも支援先に「セキュリティ対策は何をすれば良いの？」と聞かれた際に、さらっと答えられるようになれたらいいなと思い今回のセミナーに参加しました。

小寺講師は、サイバーセキュリティ業界の会社でエンジニアとして従事する専門家です。最近のセキュリティ事故の事例や、世界的に被害が話題になったマルウェア「Emotet」の事例紹介などから、①サイバーセキュリティのリスクと対策の重要性、②サイバーセキュリティ対策の考え方、③サイバーセキュリティ対策の実践方法、を中心にお話いただきました。中小企業がサイバー攻撃のターゲットになることは少ないのではないかと思われる方もいらっしゃるかもしれませんが、実際に中小企業をターゲットにした攻撃は多数発生しています。たとえば、「サプライチェーン攻撃」といわれるサイバー攻撃は、サプライチェーン内でサイバーセキュリティ対策が不⼗分な中⼩企業を侵⼊の⾜がかりとして、⼤企業への攻撃を図るものです。IPA（独立行政法人情報処理推進機構）によると、直近3期でセキュリティ対策投資をしなかった中⼩企業はおおよそ3分の1で、その理由の上位は「必要性を感じていない」「費⽤対効果が⾒えない」というものでした。情報漏洩による損害賠償額やランサムウェア（⾝代⾦ウイルス）による損害は膨大な金額となり、事業継続が困難となるケースもあります。今やセキュリティ対策は、費用ではなく経営課題としての投資と考えるべきです。とはいえ、必ずしも費用の負担をともなわなくてもできる対策もあります。そのような対策の知識があれば、支援先に価値のある提案ができると思います。費用の問題だけではなく、サイバーセキュリティ対策をすることによって、業務の効率が悪くなる場合もあります。セキュリティ対策と業務効率化はトレードオフの関係になることもありますが、そのバランスを考えながら必要な対策を提案することが、我々診断士に求められることではないかと思います。

質疑応答では、ウイルス対策ソフトに関する個人的な質問にも答えていただき、参加して良かったと思える非常に有意義なセミナーでした。