中小企業のセキュリティ対策はどこまで実施すべきなのだろう

昨年起きた、四国の病院でのランサムウェア事件。データが暗号化され、一切見れず、カルテや精算を必死に手動で対応せねばならなかった事件。悪いのはもちろん、身代金攻撃を仕掛けた方なのですが。。。

その後、色々何故この事件が起きたかの原因分析記事が出ています。

ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題
https://www.nikkei.com/article/DGXZQOUC156R10V10C22A6000000/?unlock=1

なかなか、対応がひどい状況にあったようですね。

ランサム被害の真因 管理者不在の「マルチベンダー」 (日経新聞 6/17)
https://www.nikkei.com/article/DGXZQOUC156R10V10C22A6000000/?unlock=1

この記事タイトルもちょっとつらいですね。なんとなくベンダーが悪いように読めてしまいますが、もちろん、「管理者不在」が真因ということであれば、セキュリティの管理体制を構築できていなかった病院側の責任が重大ですね。

お金も要員もない状態だったので仕方ない面があった・・・だからベンダーにお金払っていないけどもっと対応すべきだった、といった報告書のトーンは、読んでて辛いですね。 病院側の責任転嫁の言い訳文。

徳島県つるぎ町立半田病院
コンピュータウイルス感染事案有識者会議調査報告書について

https://www.handa-hospital.jp/topics/2022/0616/index.html

と、責任の押しつけ度合いは不平等な気がする報告書ですが、こうやって具体的なセキュリティ状況、事故後の対応を公開してくれるのはありがたいですね。他の病院や企業が同じ目に合わないためには非常に参考になります。

中小企業、特に小規模企業のセキュリティ対策は?

今回の病院程度の規模があれば、もっとセキュリティにお金はかけておくべきだったでしょう。社内の担当者も3人くらいおいて、ベンダーとの保守契約を結んでいれば、もしかしたら、この自体は起きなかったかもしれません。

結局、お金、コストですかね。。。

今年のIT導入補助金2022ではセキュリティ対策推進枠が設けられ、中小企業のセキュリティ対策を応援する仕組みはできています。2年間のサービス料の1/2は補助してもらえます。

安価なサービスが中心で、月1万円以下程度のセキュリティ監視サービスがIT導入補助金の対象となっています。

1万円かあ。年間12万円。もちろん、これ以外にもサイバー保険や、端末の数に応じた負担の増大。

機械設備なら壊れたら気づくのですが、セキュリティは壊れていても社内の人はだれも気づかない。よって、事故に、事件にあわないと対策をしようと思わないかもしれませんね。

ある程度の顧客数があり、取引データが多く、今後も成長していこうという意思のある中小企業はこういったセキュリティツール(見守り、駆けつけ、保険)の導入を考えるべき時期に来ているんだろう、と思います。

そんなところで。