中小企業も避けられぬ「セキュリティ投資」

投稿者:nakajima 投稿日時:火, 2018-11-13 12:08

 2000年目前にして大問題になった「Y2K」問題を思い出す。
 経済産業省は取引先の中小企業を通じてサイバー攻撃が仕掛けられる「サプライチェーン攻撃」の対策に乗り出している。大企業が自社のシステムに対する攻撃の防御を固めても、セキュリティに脆弱性を抱える取引先の中小企業のシステムを経由してくる攻撃の防御はまだ、きわめて大きな穴が開いている。
 「Y2K」の時もそうだった。西暦の4桁の年号は、1900年代は前2桁の19を省略して後2桁で表記して処理していた。しかし、2000年に入ると後2桁が、19××なのか20××なのか分からず、システムが停止する危険がある。そこで自社のシステムを徹底的に調べて2桁表記を4桁表記(あるいは19か20か区別がつく表記)に置きなおす膨大な作業を行った。
 やっと作業を終えてほっとしたところで持ち上がったのが取引先からくる2桁データの問題だ。新しいデータ体系に作り直してシステムに古い2桁データが取引先から送られてきたらシステムが停止する危険がある。ということで、取引先まで「Y2K」対策ができていることを確認する大作業を行わなければならなくなった。中小企業にはたいへんなコスト負担だったが、取引先からは強い要請がきて、コストをかけざるを得なかった。
問題は、さらにその孫請けの取引先、ひ孫請けの取引先へと遡る必要が生じたことである。末端の下請けになるほど企業規模が小さくなって、コスト負担が過重になることだった。
今回のサプライチェーン攻撃への対応策も同様の構図である。元請けの大企業の情報システムにセキュリティ対策を施していっても、連携する取引先中小企業のシステムに脆弱性があれば、防御策には大きな穴が開いてしまうことになる。
経済産業省が中小企業対策として打ち出したのは、中小企業のサイバー事故対応を支援する「サイバーセキュリティお助け隊」の制度の創設である。19年4月以降に動き出す。内容は「中小企業は専用のサイバー保険に加入し、サイバー攻撃の被害が疑われる事態になったら地元の保険代理店やITベンダーに相談する。サイバー攻撃を受けたと判断されれば、地域のセキュリティ人材が初動対応に当たる」というものだ。
何か、この程度で大丈夫か、と心細くなるような内容だが、まず、第一歩を踏み出した、というところだろう。財政が厳しい中で補助金は出しにくいだろうが、日本社会の強靭化のためには、最優先で補助金を出す場面だろう。あるいは、事故を起こしたら重い懲罰が控えている、というような、飴と鞭の政策で対策を加速化させないといけないだろう。