企業が取り組むべきセキュリティ対策の範囲は広がっている

　まず、企業におけるセキュリティ対策の現状を俯瞰しておこう。旧来、企業におけるセキュリティ対策と言えば、PCを対象としたものが主体だった。規模の小さな企業では「PCにマルウェア対策ソフトウェアを導入していれば万全」と考えているケースも少なくない。

　だが、昨今では大企業のみならず、中堅・中小企業においても「Webサイトを通じて自社の商材に関する認知を高める」「eコマースサイトによって販路を開拓する」などの取り組みが活発になってきている。その過程ではFAXでやりとりしていた受発注確認がメールなどに代替されていく。

　さらに「標的型攻撃」のように、従業員の交友関係をSNSなどで事前に把握し、知人を装って接近してくる手法も登場してきている。こうした攻撃に対してはIT機器や業務システムだけでなく、従業員を教育するという観点からの対策も欠かせない。

　このように、企業がセキュリティ対策を講じるべき対象はPCから「Webサイトやeコマースサイト」「メール」「従業員の教育」といったように大きく拡大してきている。

　こうした状況を踏まえ、ノークリサーチでは年商500億円未満の企業1,300社を対象にセキュリティ対策の現状に関する調査を実施している。その結果を踏まえると、企業がDX時代に向けて留意すべき3つのセキュリティ対策ポイントが見えてくる。以下で順に見ていこう。

1.Webサイト/eコマースサイトの保護ではクラウドサービスも有効

　以下のグラフは年商500億円未満の企業に対し、「PCのセキュリティ対策」と「Webサイトやeコマースサイトの保護」の実施状況を尋ねた結果を比較したものだ。


　「PCのセキュリティ対策」と比べて「「Webサイトやeコマースサイトの保護」では「何も行っていない」の割合が高くなっていることがわかる。昨今では正規のWebサイトやeコマースサイトに細工をして、訪れた顧客のPCを攻撃するといった手法もある。何の対策もしない状態では、ビジネスを拡大するために開設したWebサイトやeコマースサイトが、逆に自社の信用を失墜させる事態を招いてしまう危険性もあるわけだ。

　とはいえ、Webサイトやeコマースサイトは外部からアクセスできるようになっているため、セキュリティ対策の難易度も高くなってくる。たとえば、「SQLインジェクション」や「XSS（クロスサイトスクリプティング）」と呼ばれる攻撃手法は個々のシステムに固有の脆弱性を突いてくる。

　こうした攻撃を防ぐためには自社のWebサイトやeコマースサイトの基盤となっているシステムの設計や構造も理解しておく必要がある。そのため、規模の小さな企業にとっては敷居が高く、その結果として「何も行っていない」という状態が放置されてしまいやすいと考えられる。

　だが、こうした状況も徐々に変わりつつある。以下のグラフは先述のデータで「取り組んでいる」と回答した企業に対して、「Webサイトやeコマースサイトの保護の実施手段」を尋ねた結果である。


　PCのセキュリティ対策と同じように、Webサイトやeコマースサイトの保護においても「パッケージ」が最も多く挙げられている。だが、その次に挙げられているのは「クラウドサービス」や「アウトソーシング」だ。

　昨今では「一旦クラウド事業者側のシステムで外部からのアクセスを受け付けて、攻撃と疑われるものを排除するクラウドサービス」や「定期的にWebサイトやeコマースサイトにアクセスして脆弱性がないかチェックするアウトソーシングサービス」もある。

　こうした実施手段であれば、IT管理/運用の人員が十分に確保できない企業でも検討の余地が出てくるだろう。このように「パッケージに限らない幅広い実施手段を検討して、Webサイトやeコマースサイトを保護する」という点が、DX時代に向けて企業が取り組むべきセキュリティ対策ポイントの1つ目である。

【次ページ】セキュリティ対策ポイント2「メール設定」、3「従業員教育」