docomo business Watch

DXの課題を解決するヒントをお届け

docomo business Watchはドコモビジネスが運営しています。

取引条件に「セキュリティ対策」。なぜ?

取引条件に「セキュリティ対策」。なぜ?

「サイバー攻撃は自社には関係ない」と考えている中小企業も多いかもしれません。しかし、最近では中小企業がサイバー攻撃の対象となっていることもあり、契約を結ぶ際に、一定のセキュリティ要件が求められるケースも存在します。

取引条件にセキュリティ対策が求められた場合は、どうすれば良いのでしょうか? 対策法などを解説します。

目次

大企業よりも、中小企業がサイバー攻撃の標的に
なっている

中小企業は、大企業と比べるとどうしても予算の規模は小さくなります。そのため、「ウチがサイバー攻撃に狙われるわけはないだろう」と、セキュリティ対策に掛ける予算を抑えている企業もあるかもしれません。

しかし、サイバー攻撃に狙われているのは、大企業だけではありません。むしろ、中小企業の方が狙われている恐れがあります。

警視庁が2023年9月に発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」という資料によると、ランサムウェア(感染すると、端末に保存されているデータが暗号化され、データの復号の対価として金銭を要求する不正プログラム)の被害に遭った全103件のうち、大企業は30件、中小企業は60件でした(残る13件は団体等)。

※警視庁:令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について

こうした中小企業を狙ったサイバー攻撃は、「サプライチェーン攻撃」の一環ともいえます。サプライチェーン攻撃は、セキュリティが手薄な中小企業にサイバー攻撃を行い、そこを踏み台に大企業に侵入していく手口です。つまり、中小企業がサイバー攻撃の被害に遭うことで、結果的に大企業もその被害のリスクが高まるということになります。

契約内容にセキュリティ対策が盛り込まれる時代

このように中小企業がサイバー攻撃の標的となっていることもあり、ビジネスの世界では企業単体ではなく、サプライチェーン全体を包括したセキュリティ対策が求められています。

実際に、契約内容にサイバー攻撃への対策や、被害が発生した場合の調査費用や損害賠償といったセキュリティに関する条項を盛り込む企業が増えています。つまり、「サイバー攻撃は他人事」ではなく、適切なセキュリティ対策を行わなければ、「仕事を受けられない」というケースが増えているのです。

実際にサプライチェーン攻撃の被害に遭い、工場が停止する事件も発生した自動車業界では、業界団体である日本自動車工業会・日本自動車部品工業会が連名で「自工会/部工会・サイバーセキュリティガイドライン2.0版」というセキュリティガイドラインを発表しました。両団体は加盟企業に対し、同ガイドラインが求めるセキュリティ対策が行われているかどうかのチェックシートを回答するよう求めています。

また、経済産業省では、2023年11月に「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案」という資料を発表。サイバー攻撃の被害拡大防止のために、契約書に盛り込むべき内容を解説しています。

※経済産業省:秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案

中小企業が取るべきセキュリティ対策とは

それでは、実際にどのようなセキュリティ対策をサプライチェーン全体で行っていく必要があるのでしょうか? その内容は業界や企業によって異なりますが、一般的なセキュリティ対策としては【1】技術的対策、【2】物理的対策、【3】人的対策の3本を軸に行っていきます。

【1】技術的対策とは、ウイルス感染を防ぐためのウイルス検知ソフト、不正アクセスを監視/防止するログ監視ツール/ファイアウォール、脆弱性を発見するためのセキュリティ診断の実施など、ツールやソフトウェアによるセキュリティ対策のことです。ユーザーの権限を制限したり、OSのアップデートを確実に行うための仕組み作りも、技術的対策に含まれます。

【2】の物理的対策とは、物理的な機器・設備によって行われるセキュリティ対策のことです。具体的には、監視カメラの設置や、パソコンなど機器の持ち出しを防ぐワイヤーロック、入退室データの記録/管理システム、予備電源の設置などが該当します。

【3】の人的対策は、人間のミスやモラルに関するセキュリティ対策で、操作ミスをした際のマニュアル作成や、サイバー攻撃の手口に関する従業員教育、不正行為をした際の罰則ルールの設定などが当てはまります。

画像:中小企業が取るべきセキュリティ対策とは

対策に困ったら「まるごとビジネスサポート」の
セキュリティ相談を!

とはいえ、今までこれといったセキュリティ対策を行っていなかった中小企業は、どこからセキュリティ対策をして良いかわからず、取引先から「セキュリティ対策を万全に」と言われ、困っているというケースもあるでしょう。

こうした場合には外部のセキュリティサービスを使うのもひとつの方法です。たとえばドコモビジネスのサポートサービス「まるごとビジネスサポート」には、企業のセキュリティ状況の見える化や、さまざまな困りごとの解決を相談窓口でサポートする「セキュリティ相談」というオプションサービスが存在します。

セキュリティ相談は、セキュリティに関する問い合わせに電話で回答するサービスです。さらに、企業の社内のPCからログ情報を取得し、脅威の可視化と対策の提案を「ヘルスチェックレポート」として提供する機能や、社内のセキュリティ運用に関する質問に回答するだけで、情報漏えいのリスク判定ができる情報漏洩リスク診断機能も備えています。

企業が取引先を選定するにあたっては、与信調査はこれまでも行われてきましたが、サイバー攻撃が頻発している今、セキュリティ対策はこれまで以上に重視される可能性があります。優れたサービスや商品を提供していても、セキュリティが足りないだけに選定されないのは、大変もったいない話です。まずは「セキュリティ相談」のようなサービスで、セキュリティリスクを可視化するところからはじめてみてはいかがでしょうか。

※本記事は2023年12月現在の情報を元に作成されています。

ドコモビジネスがお届けする
メールマガジン(無料)のご案内

  • コラム

    最新のサービス情報や
    ソリューションのご紹介

  • サービス導入事例

    他社の課題解決事例や
    ベストプラクティス

  • セミナー・イベント

    旬なテーマが詳しくわかる
    企画をご案内

\ご登録は1分で完了/

ドコモビジネスでは、法人向けインターネットやスマホをはじめ、
中堅・中小企業のお客さまに役立つサービスを多数ご用意しています

検索