時期を同じくして、日本国内のサイバー攻撃、そしてランサムウェア被害に対して興味深い2つ報告が成されました。一つはパロアルトネットワークス、もう一つはアクロニスからの調査報告です。前者は次世代ファイアウォールを中心としたクラウド、エンドポイントをも含むセキュリティソリューション提供企業、後者も同様ですが、データ保護、バックアップに定評ある企業です。両者ともサイバー攻撃に対抗する製品群を提供する企業とは言え、前者が防御、後者が復旧に力点を置いていることからその報告の視点も異なっています。今回、2つの報告のまとめではなく、その報告から読み取れる異なった見解を与えます。

パロアルトネットワークス、「日本国内の中小企業のサイバーセキュリティに関する実態調査 2024年版」の結果を発表

Acronis サイバー脅威レポート 2024 年上半期版: 重要な知見を解き明かす

パロアルトの調査では、インターネット調査であるとはいえ、従業員50名～499名までの中小企業で、おそらくパロアルト製品を購入した、あるいは購入に興味を持った決済権者523名の調査であり、ほぼ会社規模に対してまばらに選ばれています。地域もほぼ拡散していて、大都市圏に偏っているということではありません。約1/4が製造業であり、その他は非製造業となっています。

2023年度、44％の中小企業が何らかの被害を受けた経験があるとされていますが、内部犯行や個人情報漏えい等も含まれ、必ずしも外部からのサイバー攻撃と判断され難いものも含んでいることからその実数は少なくなるでしょう。それでもその半数、約20％の中小企業がサイバー攻撃の被害に遭っていると考えてよいでしょう。妥当な数字です。パロアルトの調査の特色は地域別の結果です。九州・沖縄地方、近畿地方、東海地方のサイバー攻撃被害が他の地域に比べて多いということです。考えられる理由はセキュリティ製品の理解や運用を担う、あるいは助けるITベンダー環境です。パロアルトの調査でも中小企業でセキュリティ業務専任は15％に留まり（おそらくそのほとんどは300名以上の中規模以上の中小企業）、セキュリティ運用に長けた社員は存在せず、セキュリティ機器を直接導入するITベンダーに頼っているのが現状と考えられます。現実的にセキュリティ運用、能力に長けたITベンダーは上記の3つの地方では比較的数多く存在することから、早期に被害の発見が行われていると考えられます。関東も同様にITベンダー環境は良好ですが、サイバー攻撃に対する情報量も多く、他地域に比べて対策がしっかりとされていると考えるべきでしょう。逆にそれ以外の地域では被害を受けているにもかかわらず、その発見、認知に至っていないと考えることが妥当ではないかと考えられます。従業員規模に比例して被害発生率が高くなっているという調査結果もそれを裏付けています。すなわち規模の小さな中小企業では被害が少ないのではなく、対策が十分でない、あるいは導入したITベンダーの協力が得られていないことからサイバー攻撃の被害自体に気づいていないと考えられるからです。

パロアルトの調査ではセキュリティ製品の購入先がその販売を担うITベンダーであることが多く、特に関東、近畿以外は地場のITベンダーとの結果となっています。セキュリティ製品はその運用・保守が重要です。しかしながら中小企業の多くがセキュリティ専業の社員がいないにもかかわらず、内部で運用・保守を行っており、外部に委託している企業でも、その半数が業者完全依存で、まったく委託内容を把握していないと回答しています。ITベンダーの能力やセキュリティ意識が重要なのですが、それが伴っていないITベンダーが少なくない事実は大きな問題です。

アクロニスの調査で特筆すべきは、日本におけるランサムウェアの検出率です。2024年第1四半期（2024年1月～3月）での国内は16.5％で、米国の5.4％を大幅に超えています。アクロニスはエンドポイント製品での検出率で、自社のネットワークを超えてパソコン内に侵入しようとしたランサムウェアですから、メールに添付されたマルウェアやURLを踏んでダウンロードしようとしたランサムウェア、あるいは認証を超えられて不正にパソコンに侵入したことが考えられます。つまり利用者（企業）側のセキュリティ意識が低く、脆弱性を放置していたり、パスワード管理が疎かになっていることが原因と考えられます。運用を担う社員を含めて、従業員のセキュリティ意識が他国に比較して著しく低いと言わざる得ないでしょう。

アクロニスの分析を含めて、他所での報告や分析でも、日本の企業はランサムウェアの格好に標的になっていると言われています。その理由は日本の企業が豊かであるとか、身代金を払う余裕がある、あるいは身代金を容易に払うという理由ではなく、単に社員のセキュリティ意識を含めてセキュリティ対策に脆弱性を持つからです。

まとめると国内においてサイバー攻撃の被害が多発している理由は人材の問題となります。しかしながらセキュリティ人材不足という理由ではなく（もちろん、セキュリティ人材は必要で、不足していることは事実です）、社員全員のセキュリティ意識という最小限のサイバーセキュリティに対する知識と、中小企業にとってセキュリティ対策の事実上の要となるITベンダーのセキュリティ知識・技術にかかっており、中小企業ではITベンダーに依存するのではなく、協力してもらうためにITベンダーとしっかりと対話（相互理解）することが肝要です。

【追記：お詫び】記事公開当初、アクロニス様の社名を間違って記載していました。お詫びして訂正させて頂きます。