MSSPが語る、中堅・中小企業を取り巻く環境と対策

ー日々さまざまな企業のセキュリティ状況を監視されているかと思いますが、中堅・中小企業を狙うサイバー攻撃の傾向や手口はありますか？

中堅・中小企業を狙うサイバー攻撃で最近顕著なのは、サプライチェーン攻撃です。セキュリティ対策が手薄な企業を踏み台にし、取引先の大企業へ攻撃を広げる手口が増加しています。特定の業界や技術に特化した攻撃が増えている点も特徴的で、攻撃者が業界特有の弱点を狙うケースが目立っています。

さらに、Windows OS のアップデート不備や脆弱性を悪用する攻撃も依然として多く、こうした問題は攻撃者の侵入を許す入り口となります。

中堅・中小企業であってもセキュリティ対策を強化し、踏み台として悪用されない体制を整えることが重要だと改めて感じています。

ー一般的に認識されている脅威以外で、特に警戒している、あるいは「これは見落とされがちだ」と感じる中堅・中小企業特有のリスクはありますか？

当社が特に警戒している中堅・中小企業特有のリスクは、システムを最新・安全な状態に保つためのアップデートの管理不足です。多くの中堅・中小企業では、リソース不足から脆弱性情報の収集やアップデートが後回しになり、攻撃者に悪用されるケースが増えています。

実際、最近観測したインシデントとしては、サンドボックス環境に放置されたシステムの脆弱性が狙われた例がございます。本番システムに比べて保守が手薄になりがちな環境は、攻撃者にとって格好の標的となります。

当社では、脆弱性情報の収集と迅速なアップデートの実施を徹底し、このようなリスクへの対策を進めています。

ー攻撃者が中堅・中小企業をターゲットにする際、どのような脆弱性や油断を突いてくることが多いと感じますか？

攻撃者が中堅・中小企業を狙う際、特に多いのがソーシャルエンジニアリングを利用した攻撃です。たとえば、グループ企業や取引先を装い、マルウェアを仕込んだ Word や Excel ファイルを添付して送信する手口が増えています。この攻撃ではマクロウイルスを活用し、ファイルを開くだけで感染する仕組みが一般的です。

また、中堅・中小企業では従業員のセキュリティ意識が十分でない場合もあり、攻撃者はその油断を突いてパスワード窃取や不正アクセスを試みるケースが多いと感じます。こうした攻撃は企業規模を問わず見られますが、特に中堅・中小企業ではリソース不足から対策が後手に回ることが狙われやすい理由の一つです。

ー実際に観測された、あるいは対応されたインシデントの中で、特に印象的だった事例があれば、その手口や影響と合わせて教えていただけますか？

印象的なものとして、フィッシング攻撃を通じて窃取されたアクセス情報を使い、攻撃者がグループ企業のシステムに侵入するサプライチェーン攻撃が行われたという事例が挙げられます。侵入後、内部システムの脆弱性を突かれて権限がエスカレートされ、重要なシステムの特権が奪われた結果、被害がグループ全体に拡大しました。

この事例は、標的型攻撃の典型的なパターンであり、以下の教訓を示しています。

こうした攻撃は巧妙で影響範囲が広がりやすいため、あらゆる企業が注意を払う必要があります。

ー中堅・中小企業のセキュリティ対策において、MSSPの視点から見て「ここが弱い」「よくある落とし穴だ」と感じる点は具体的にどのようなことでしょうか？

中堅・中小企業のセキュリティ対策の導入で特に壁になると感じるのは、予算確保の難しさとそれに伴う経営層の理解不足です。ある調査では、従業員数500名以上の企業で年間約3,300万円のサイバーセキュリティ被害リスクがあると推定されていますが、もしそれだけの費用をセキュリティ予算に確保できれば、専任担当者の配置や外部脅威対策を含む枠組みの導入が可能です。

特に、日本では情報セキュリティ（内部不正や過失対策）に比べ、サイバーセキュリティ（外部脅威対策）への取り組みが遅れています。たとえば、NISTサイバーセキュリティフレームワークやCIS Controlsなどの枠組みは、まだ広く普及していません。

こうした課題を解決するには、経営層にセキュリティ対策は投資であるという認識を持ってもらい、外部脅威を視野に入れた対策を進めることが重要です。

ー限られたリソース（予算、人員）の中で、中堅・中小企業のシステム担当者が「まずこれだけはやるべき」という、コストパフォーマンスの高い、あるいは必須のセキュリティ対策は何でしょうか？ 

限られたリソースの中で、中堅・中小企業のシステム担当者がまず取り組むべきセキュリティ対策は以下の3つと考えます。

脆弱な境界防御機器、特にVPN機器は攻撃者にとって格好の入り口です。ソフトウェアを常に最新化し、既知の脆弱性を塞ぐことが最優先です。

 最終的には、個々の端末（パソコン）がしっかりとした防御態勢を取れていないと、どんなに途中経路を強化しても片手落ちになります。安全なファイアウォールの配下にいないときでも、最終的な防御ができる端末防御の導入・運用は必須と考えています。また、被害が避けられなかったような場合に備えたバックアップシステムの導入・運用も同様に重要です。

認証を一元化し、セキュリティ管理を効率化できます。これにより、パスワード管理の負担が軽減され、不正アクセスのリスクが低下します。

これらの対策は、低コストながらリスクを大幅に軽減できる効果的な手段です。特に、境界防御機器の運用とEDR・バックアップシステムの導入は早急に実施することをおすすめします。

ー「ゼロトラスト」や「EDR」といった比較的新しい概念やソリューションについて、中堅・中小企業はどのように捉え、どこから手をつけるべきだとお考えですか？

「ゼロトラスト」や「EDR」は、いずれもセキュリティリスクを軽減するためのものであり、まず自社の現状とリスクを評価することが重要です。

たとえば、ゼロトラスト（概念であって製品ではありません）は、テレワークや出張など、外部からのアクセスが多い企業にとっては非常に重視すべき概念です。一方、全社員が内勤のみ、パソコンを持ち帰ることもないような企業の場合は検討の優先度が低くなるでしょう。

EDRは、端末に対する攻撃をリアルタイムで検知・対応する仕組みで、従来のアンチウイルスでは不十分な環境で特に効果を発揮します。

中堅・中小企業がこれらを活用する際の優先ステップは以下の通りです。

リソースが限られている中堅・中小企業でも、適切に優先順位をつけることで、これらのソリューションを効果的に活用できます。

ーリソースが無い中で頼れるのが、MSSかと思いますが、バリオセキュア株式会社が提供するサービスの中堅・中小企業向けの強みや特徴について教えてください。

当社は創業以来四半世紀に渡り、自社開発した国産のセキュリティシステムを24時間365日体制で運用してきました。その実績に加え、日本全国の約8,000拠点^※にサービス提供を行い、どの拠点でも4時間以内にオンサイト対応が可能な駆け付け保守基盤を整えています。

特に中堅・中小企業様に向けたサービスの強みとして、皆様が抱える「セキュリティ専門人材の不足」という課題を解決するため、当社の豊富なノウハウを活用したプロフェッショナルなセキュリティ運用を提供しています。これにより、高度なセキュリティ対策を安心してお任せいただける体制を実現しています。

^{※2025年5月現在}

ー日々多くの企業のセキュリティアウトソースを請け負う中で重視されていることは何ですか？

セキュリティアウトソースを請け負う中で当社が最も重視しているのは、‟高品質なセキュリティ運用を迅速かつ正確に行うこと”です。

中堅・中小企業の皆様におかれましては、大企業に比べてセキュリティ対策に割ける予算や人材が限られていることが多いにもかかわらず、サイバー攻撃の脅威は同じように存在します。たとえば、当社の実績として当社のような中小企業が月に約2,300件、一日あたり約75件もの攻撃を受けていたことを検知・防御した経験もありました。

このような現状を踏まえ、当社では熟練エンジニアとAIの力を組み合わせた仕組みを活用し、効率的かつ高品質なセキュリティ運用を実現しています。具体的には、AIで回答ナレッジを蓄積し、サポート対応の迅速化や精度向上を図るとともに、新人エンジニアの育成にもAIを活用し、スキル習得のスピードと正確性を高めています。

このように、人とAIの強みを融合することで、少人数でも効率的な運用を可能にし、お客様に安心を提供できる体制を整えています。

ーMSSPを利用することの具体的なメリットについて、自社だけで対策を行う場合と比較して、特にどのような価値があるとお考えですか？

MSSPを利用するメリットは、以下の3点に集約されます。

内製化には高いコストと専門人材が必要ですが、MSSPなら限られた予算で24時間365日の監視体制を実現できます。

MSSPの専門家が最新の脅威情報を活用し、インシデントを迅速かつ的確に分析・対応します。

MSSPが提供する最新のセキュリティ標準は、内製化を目指す企業にとっても大きな指針となります。

ー今後、サイバーセキュリティの世界で重要になるとお考えの技術トレンドはありますか？

注目するべき技術トレンドはたくさん存在します。ただ、セキュリティのトレンドのみに注目して、もっと基本的な対策が取られないことについてのリスクのほうが中堅・中小企業様にとっては大きいと考えています。

鍵のかかっていない家（境界防御不備）の、鍵のかかっていない金庫（端末防御不備）の中に多くの現金を入れたうえで、その金庫までの経路をAIや監視技術を使ってどんなに緻密に防御しても、それはセキュリティの優先順位として正しいとは思えません。脅威の進化に対してソフトウェア・ハードウェアとして対策をアップグレードしていくことも必要ですが、「基本を抑えたうえで常に見守る」というサービスの見守り内容を充実させていくことが重要と考えています。

ー最後に、日々奮闘されている全国の中堅・中小企業のシステム担当者に向けて、メッセージやアドバイスをお願いします。

サイバー攻撃の手法も多様化し、リスクも増大している時代ですが、絶対にサイバー攻撃を受けない方法が１つだけあります。それは、「ターゲットの電源を落としていること」です。電源が落ちている＝ネットワークの世界に存在しない、という状態であり、存在しないものに対してはどのような高度な攻撃も届きません。

中堅・中小企業のシステム担当者の皆様のなかには、社内の多種多様な端末を防御するために寝る間も惜しんで対応されている方が多くいらっしゃるものと推測します。その膨大な仕事量を減らすためにバリオセキュアはセキュリティの運用サービスを提供しているわけですが、そのさらに前段階として「不要な電源は落としておく」という対策を徹底するだけで、数割の稼働・心労が削減される場合もあります。

まずは「足元を見直す」ことから始めて、その上に費用対効果の高いセキュリティ施策を積み上げていくことが肝要と考えています。