「晴れているうちに屋根を修理せよ」
– ことわざ
サイバーセキュリティの世界には、嵐の到来を告げる定番の言葉があります。「侵害は起きるかどうかではなく、いつ起きるかの問題だ」というものです。業界で長年使われてきたこの格言はかつてないほど真実味を帯びていますが、同時に年月を経て言葉の重みが薄れてきているようにも感じられます。「地平線に暗雲が見える」ということには誰もが同意しても、それを受けてIT緊急時対応計画を策定・見直ししたり、攻撃を受けた際に自社が耐えられる業務停止の限界を把握したりしようと急いで動く組織が、果たしてどれほどあるでしょうか。
もちろん、サイバーインシデントは「いつ準備を終えてください」という期日を知らせてくれません。組織にできるのは、いつかの時点で何らかの形で、どこかからやってくることを前提に動くことだけです。しかしそうした認識があるだけでは、攻撃に耐えられる態勢は整いません。警告が意味を持つのは、それが行動を促すときだけです。最終的に立ち続けられる可能性が最も高い企業とは、平穏な時間を使って主要なリスクを冷静に見極め、まるでその日が決まっているかのように準備を進めてきた企業です。
ギャップと大きな穴
ESET SMBサイバー対応力インデックス2026は、中小企業(SMB)が攻撃者の標的となる頻度と、実際に攻撃を受けた際の自信の度合いとの乖離を測ることを目的として実施されました。米国、カナダ、欧州、中東、日本の意思決定者4,400名を対象にしたこの調査では、中小企業の45%が直近12ヶ月間に少なくとも1件のサイバーインシデントを経験していたことが明らかになりました。
さらに興味深いのは、実際にインシデントを経験した後の自信の変化です。世界全体では、回答者の75%が自社のレジリエンスに対して「非常に自信がある」または「やや自信がある」と回答しており、複数回のインシデントを経験済みのグループではその割合が81%に上昇しました。米国とカナダではさらに高く、全回答者では86%、複数回の侵害を経験したグループでは91%に達しています。
つまり、自信はインシデントの経験にもかかわらずではなく、むしろ経験とともに高まっているのです。繰り返し被害に遭った企業は、サイバーインシデントとの遭遇を「死なない程度の打撃は自分を強くする」という証拠と捉えているのでしょうか。それとも、侵害をビジネス上のリスクの一部として受け入れてしまっているのでしょうか。おそらくどちらでもありません。調査によれば、多くの中小企業はサイバー保険の要件やコンプライアンスの圧力、セキュリティ意識向上トレーニングの普及に後押しされる形で、実際に準備を強化しています。
それでも、同じデータは「準備できている」という感覚と基本的な予防措置の実施状況との間に根強い乖離があることも示しています。攻撃を受けて事業が継続できた経験は、適切な教訓を得さえすれば確かに組織を強くします。しかし一方で、将来の高くつく代償を避けられないほど脆弱な状態を招くこともあります。
インシデントの発端となる主な経路
サイバーインシデントの根本原因について、ESETのデータが示しているのは「派手さ」とは無縁のカテゴリです。フィッシング(26%)、未適用の脆弱性パッチ(23%)、監視の不備(22%)、脆弱なパスワード(20%)といった項目が上位を占めています。これらは何年も前から最も注意が必要とされてきたカテゴリですが、ニュースの見出しを賑わす脅威に関心が移り、人々の意識から遠ざかりがちです。AIや自動化、攻撃者の高度化が盛んに語られる一方で、中小企業への侵害の多くは依然として見慣れた手口から始まっています。
この認識のずれは、中小企業が何を恐れているかにも表れています。世界全体で最も懸念される脅威として挙げられたのはAI搭載型マルウェア(31%)で、ランサムウェアやその他のマルウェア(29%)、フィッシング(26%)を上回りました。ESETのエンタープライズ・SMB・MSP担当バイスプレジデントであるMichal Jankech氏は次のように端的に述べています。「中小企業の懸念はAI主導の攻撃などの新興脅威に関するニュースに左右されており、フィッシングや未適用パッチ、監視の欠如といったより日常的なリスクが過小評価されていることがわかりました。多くの回答者が自社のセキュリティ態勢とレジリエンスを誤認していることが見て取れます。」
一方、Verizonの2026年版データ漏洩調査報告書(DBIR)は、攻撃者側からの逆の優先順位を記録しています。AIを活用したマルウェア機能のうち、稀少または新規の手法を使用したものはわずか2.5%に過ぎません。DBIRの他の調査結果も同じ方向を指しています。報告書19年の歴史で初めて、脆弱性の悪用が窃取認証情報を抜いて主要な初期侵入経路のトップに立ち(侵害の31%)、パッチ適用までの中央値の日数は前年の32日から43日へと増加しました。中小企業に影響を与えた具体的な行動としても、ランサムウェア、認証情報の窃取、脆弱性の悪用が上位に並んでいます。
ゴールデンアワー
救急医療では、対応速度がダメージを回復可能かどうかを左右する同様の時間帯を「ゴールデンアワー」と呼びます。サイバーセキュリティにおいて、この局面での選択は技術的な判断と手続き的な判断が同等の比重を持ちます。「感染」の拡大を食い止めるには、対応手順を熟知していることが求められます。そこには、後でより深刻な事態を避けるために今すぐ確実な自傷的ダウンタイムを選択する場面も含まれます。本番データベースを停止するか、決済機能をオフラインにするかといった判断を下せる人物、あるいはその承認を行える人物が、数分以内に連絡を取れる状態にあることが不可欠です。
ランサムウェアも早い段階からこの議論に割り込んできます。あらゆる規模の組織に対して常に大きな脅威となっており、特に中小企業に集中的に狙われるこの脅威について、DBIRによると身代金の支払額の中央値は現在14万ドルに上り、被害者の69%が支払いを拒否しています。この点についてESETの緊急時対応ガイダンスも大多数の法執行機関も明確に述べています。身代金は支払わないことです。
同時に、別のカウントダウンも始まります。たとえばGDPRのもとでは、個人データ漏洩が発生した場合、調査が完了しているかどうかに関わらず、72時間以内に監督機関へ通知する義務があります。ログやその他の証拠はこれと並行して収集しなければなりません。サイバー保険会社や法執行機関から提出を求められるからです。最初の数時間のうちに保全されなかったものは、後から回収できなくなる可能性があります。
準備こそが答えである理由
主要なインシデント対応フレームワーク、すなわちNISTのSP 800-61、ISO/IEC 27035-1、そしてNCSCのサイバー評価フレームワーク(CAF)はいずれも、インシデント対応を継続的なリスク管理活動として位置づけることで、準備を最優先事項としています。しかし、「その時は必ず来る」という期待(=信念)は、準備とイコールではありません。準備とは、もしその時が来たとき、会社はすでに緊急の問いに迅速に答える方法を知っており、困難な状況にあっても事業を継続できるという意識的な決意です。そしてこの能力こそが、真のサイバーレジリエンスの核心です。
もちろん、正解はセクターによって異なります。製造工場にとって可用性はほぼ最優先事項であり、稼働停止は毎分ごとに損失を生みます。一方、誤ったシャットダウンが人命に関わる可能性のある病院では、別の計算が必要になります。いずれにしても、収益を生む環境をシャットダウンする権限を誰が持つか、どのサービスを最初に復旧させるかといった判断は、「大混乱が起きてから」ではなく、平穏な時間の中に決めておくべきものです。
現代の攻撃対象領域は広大で、多くの場合手に余るほどの規模に及んでいます。真の準備には、組織が利用可能な侵入口の数を減らすことが求められます。IT环境はサポート切れのレガシーシステム、文書化されていないAPI、忘れ去られた仮想マシンといった運用上の「脂肪」を蓄積しがちであり、それを削ぎ落とすのは容易ではありません。しかし、インターネットに公開されたフットプリントを最小化する習慣を組織として身につけることが必要です。ITチームが存在を把握していない資産を守ることも、その脆弱性にパッチを当てることも不可能だからです。
サプライチェーンの統合は独自の肥大化をもたらします。明確なオーナーが存在せず、過剰な権限フットプリントを抱えているケースが多々あります。ESETのレポートはそのコストを数字で示しています。中小企業の21%が、統合の複雑さを改善に向けた2番目に大きな障壁として挙げており、1位はご想像の通り予算の問題です。DBIRによれば、第三者が関与する侵害の割合は全体の48%に達しており、前年比60%増となっています。
一方、外部からの規律も着実に浸透しつつあります。世界全体では中小企業の71%がサイバー保険に加入しており、北米では84%に上ります。複数回のインシデントを経験した企業ほど加入率が急上昇しています。複数回のインシデント履歴を持つ保険加入企業の半数以上、世界全体で55%、北米では71%が、多要素認証(MFA)、IDおよびアクセス管理、EDRまたはMDRといった具体的な管理策を契約条件として盛り込んでいます。保険単独で十分な防御になると考えている中小企業は31%にとどまり、67%が単一ベンダーへの依存(モノカルチャー)を懸念事項として挙げています。
事態が収束した後に
インシデント後のレビューは、講じなかった予防策や「問題ない」と思い込んでいたものの実際には検証されていなかった復旧手段についての、耳の痛い問いを含む総括の場です。組織は「攻撃者が並外れて高度な技術を持っていた」というシナリオに逃げ込むべきではありません。そのような場合もありますが、現実はより平凡であることの方が多いのです。
「いつかではなく、必ず起きる」という言葉がこれほど真実だった時代はありませんが、その認識だけではビジネスを逆境に備えさせることはできません。警告が意味を持つのは、「その時が来る前」の行動を変えるときだけです。屋根は雨が降り始める前に直す方がはるかに簡単です。
翻訳元: https://www.welivesecurity.com/en/business-security/smb-cyber-readiness-what-makes-breaks-it/
