中小企業に対するサイバー攻撃の脅威が増してるね。
中小企業が直面するサイバーセキュリティの課題が増えてるね。
― 1 分で読む
目次
今日は、たくさんのサービスがオンラインで、いろんなシステムを通じてつながってるね。これはメリットもあるけど、サイバー犯罪も増えてきてる。2000年代初めは、サイバー攻撃は主にウイルスやワームだったけど、最近はデータ流出やマネーを狙ったランサムウェアなど、もっと深刻な攻撃が増えてる。今は、組織的な犯罪や国からの高度な脅威も見られて、特に中小企業(SME)が自分たちを守るのが難しくなってる。サイバー攻撃が増える中で、攻撃者はセキュリティが弱い小さいビジネスにターゲットを絞っているみたい。
この記事では、SMEのサイバーセキュリティに関するさまざまな研究の知識をまとめて、まだ知られていないことを見つけ出して、セキュリティを向上させる方法を提案してるよ。SMEが直面している問題や限界、現在のセキュリティ対策の効果、リスク、そして考えられる解決策を見ていく。
レポートによると、SMEに対する成功したサイバー攻撃の数が増えてるみたい。あるレポートでは、2019年の攻撃の58%がSMEを狙っていて、データ流出の43%もSMEが関与してるって。イギリスのSMEに対する毎日の攻撃は約10,000件と推定されてる。これらの数字は、攻撃を受けたSMEが情報を共有しないことが多いから、実際はもっと多い可能性がある。
進行中の侵害や財政的損失があるにもかかわらず、多くのSMEはまだ準備ができていない。たとえば、2022年の調査では、イギリスのSMEの17%しか脆弱性監査を実施していなかったみたい。この準備不足は、直面する脅威に対する認識の不足から来てることが多い。一部の研究者は、リスクの認識が低いことや、セキュリティへの投資が不足していることが原因だと主張している。他の人たちは、SMEの多くの人が効果的なセキュリティ対策を作るための知識がないことを指摘してる。
SMEの重要性
多くの読者がSMEって何?って思うかもしれないし、サイバーセキュリティの研究でなぜ重要なのかも気になるよね。SMEの定義は世界的に単一ではない。いろんな研究がいろんな定義を使ってるから、比較が難しい。ここでは、従業員が250人以下で、収益が5000万ユーロ以下のビジネスをSMEと定義するよ。
世界銀行によると、SMEは世界経済にとって重要で、全企業の90%を占め、50%以上の雇用を提供し、国民所得の40%に寄与してるんだ。アメリカでは、SMEが99.9%のビジネスを占め、GDPの43.5%に貢献してるよ。
欧州連合の統計局も、2022年にはEUの99.8%の企業がSMEで、90%がマイクロビジネス(従業員10人未満)と報告してる。SMEは8300万人を雇用していて、地域の雇用の64%を占め、地域の売上の半分以上を占めてる。多くの政府がSMEの発展を優先していて、世界銀行は2030年までに600百万の新しい雇用を創出すると予測してる。ただし、開発途上国のSMEは、より大きな財政的チャレンジに直面しているよ。
SMEサイバーセキュリティの取り組み
SMEのサイバーセキュリティを改善しようとする政府や業界の取り組みがいろいろある。イギリス政府は「小規模ビジネスのサイバーセキュリティガイド」を公開し、アメリカの機関はSMEがサイバーセキュリティの実践を向上させるためのマニュアルを発表してる。欧州委員会も手頃なサイバーセキュリティソリューションを作るプロジェクトに投資して、SMEのためのベストプラクティスを特定しているよ。
これらの取り組みがあっても、これらのフレームワークやガイドラインが実行に移されたという証拠はほとんどない。また、既存のサイバーセキュリティ基準やフレームワークがSMEには不適切であることを示す研究もある。
何年も研究は主に大企業に焦点を当ててきたから、SMEが直面する具体的な脅威についての理解にはギャップがあった。最近、SMEを研究する関心が大きく高まり、この分野で出版される研究も顕著に増えてる。
研究アプローチ
この記事では、既存の文献を体系的にレビューして、いくつかの重要な研究質問に答えようとしてる。体系的レビューは、従来の文献レビューよりも方法論的で、すべての関連研究が考慮されるように明確なプロトコルに従ってる。
レビューのプロセスは、研究質問を作成し、既存の文献を探すためのデータベースを特定することから始まる。特定の検索戦略、対象研究の適格性基準、データの抽出と統合の方法が含まれてる。この体系的なアプローチは、研究の選定に影響を与えるバイアスを減らすのに役立つよ。
データソース
文献レビューでは、コンピュータサイエンスに焦点を当てたさまざまな学術データベースや、より一般的な学術ソースを検索した。幅広い研究を確保するために、業界レポートや政府文書などのグレーリテラチャーも含めてGoogle Scholarを利用したよ。
検索戦略には、サイバーセキュリティとSMEに関連する用語が含まれていて、関連する研究が特定された。検索した各データベースの特定の要件に応じて調整が行われた。
適格性基準
レビューのプロセスは2つのフェーズに分かれてる。最初に、タイトルと要約に基づいて研究をスクリーニングした。2017年1月1日以降に発表された研究のみが含まれていて、これはクラウドの利用が増加し、他のデジタルな変化と一致している。2番目のフェーズは、適格基準を満たす研究の本文をレビューすることだよ。
データ抽出
研究から抽出されたデータには、出版年、テーマ、研究の種類、データ収集方法、その他の関連情報が含まれてるよ。このプロセスを助け、一貫性を確保するためにプロフォーマを作成した。
テーマ分析
データの合成には質的なアプローチが取られた。テーマ分析はデータのパターンを特定し、帰納的および演繹的な方法を統合した。これは、あらかじめ定義されたテーマに基づいてデータをコーディングし、分析の過程で新しいテーマが出現できるようにすることを含んでる。
合成結果は、文献での言及頻度に基づくいくつかの高レベルなテーマを明らかにした。これらのテーマは、サイバーセキュリティに関するSMEが直面する一般的な問題への洞察を提供するよ。
SMEサイバーセキュリティ研究における共通のテーマ
サイバーセキュリティリスクへの認識の欠如
文献で特定された大きなテーマの一つが、サイバーセキュリティリスクに対する認識の欠如だね。研究によると、多くのSMEはサイバー脅威がもたらす危険を完全には理解していない。この認識の欠如は、従業員から経営陣まで組織のすべてのレベルにわたって広がってる。
限られたサイバーセキュリティリテラシー
別の繰り返し現れるテーマは、SMEの職員のサイバーセキュリティリテラシーが限られていることだ。多くの研究が、SMEの人たちがサイバーセキュリティの課題を理解したり対処したりするために必要な知識やスキルを欠いていると指摘している。このリテラシーのギャップは、SMEが適切なセキュリティ対策を実施するのを難しくしているよ。
資金不足でリソースが限られたサイバーセキュリティプログラム
SMEは、サイバーセキュリティに投資する能力を妨げる財政的制約に直面していることが多い。多くの研究が、SME内のセキュリティプログラムが資金不足であることを強調していて、サイバー脅威に対抗するための効果的な防御を構築する能力を制限している。
文献がSMEの特定のニーズを見落としている
いくつかの研究は、既存の文献の多くがSMEの特定のニーズに適切に対応していないと指摘している。この見落としは、提案されている推奨事項や解決策がしばしばSMEが直面する現実に響かず、実行が難しくなることを意味してる。
特化したソリューションとフレームワークの欠如
文献は、SMEのために特別に設計されたサイバーセキュリティソリューションの必要性を指摘している。多くの既存のフレームワークは、より小さなビジネスには複雑すぎたりリソースが多すぎたりするため、効果的な実装ができていないんだ。
リスク認識の低さ
サイバーセキュリティリスクに対する認識は、SMEのオーナーやリーダーの間でしばしば低い。その低い認識が、組織内でのサイバーセキュリティの取り組みの優先順位を不十分にしてる。
SMEに対するサイバー攻撃の増加
SMEを狙ったサイバー攻撃の頻度が増加してる。研究では、多くのSMEがサイバー脅威の被害者になっていて、それによって深刻な財政的損失や混乱を招いていると報告されてるよ。
サイバーセキュリティリーダーシップの圧倒
多くのSMEには専任のサイバーセキュリティのリーダーがいない。サイバーセキュリティの責任は、必要な専門知識を持たない人に委ねられることが多く、サイバーセキュリティ問題の管理が不十分になっている。
サイバー攻撃による財政的損失の増加
サイバー攻撃は、SMEにとって重大な財政的影響をもたらす。多くの研究が、侵害や攻撃による財政的影響について議論していて、これがSMEの脆弱性をさらに悪化させる要因になってるんだ。
テーマの考察
特定されたテーマは、SMEがサイバーセキュリティに関して直面する問題の間に強い相関関係があることを示してる。認識の欠如は、効果的なサイバーセキュリティの努力に対する中心的な障壁として頻繁に挙げられる。ただ、この認識の問題は、限られたサイバーセキュリティリテラシーやリソースの不足とも関連してる。
これらの要素間の関係を理解することは、SMEがサイバーセキュリティの姿勢を改善するための効果的な戦略を開発する上で重要だよ。認識の欠如、リテラシーの限界、およびリソースの制約が適切に理解されなければ、努力が誤った方向に向かう可能性がある。
単に認識を高めるだけでは、適切なリソースやサポートが提供されなければ、サイバーセキュリティの成果が向上しない可能性がある。組織は、リスクについて新たに得た知識を前に、効果的に対処する手段がないと圧倒されることがあるからね。
SMEが直面する課題
SMEがサイバーセキュリティ対策を実施しようとすると、さまざまな課題に直面する。これらの課題には、財政的制約、専門知識の欠如、サポートシステムの不十分さが含まれている。そのため、多くのSMEは新しい技術を採用したり、サイバーセキュリティ研修に投資するのをためらっているよ。
さらに、SMEにおけるサイバーセキュリティへの標準化されたアプローチが欠けているため、状況が複雑になる。この変動性により、SMEが自分たちの特定の文脈に適用可能な指針を見つけるのが難しくなってる。
多くの場合、政府の支援や業界のトレンドなどの外部要因も、SMEのサイバーセキュリティへのアプローチに影響を与えている。これらの外部要因を理解することは、SMEが直面する課題を文脈化するために重要だよ。
結論
SMEを狙ったサイバー脅威の増加は、より良いサイバーセキュリティの実践が必要な緊急性を浮き彫りにしている。多くの取り組みや文献が増えているにも関わらず、認識の欠如、リソースの限界、サイバーセキュリティリテラシーの不足のために、多くのSMEは依然として脆弱なままだね。
SMEにとって実用的で関連性のある解決策を開発するには、より焦点を絞ったアプローチが必要だ。SMEの特定のニーズに対応し、特化したフレームワークを作成し、サイバーセキュリティの取り組みに十分な資金を提供することで、彼らのサイバー脅威に対する防御を大幅に改善できるよ。
今後の研究では、認識、リテラシー、リソース配分の複雑な関係や、異なる地域のSMEが直面する独自の課題を探求すべきだ。これらのつながりを理解することで、関係者はSMEがビジネスを守り、デジタル化が進む世界で繁栄できるような効果的なサイバーセキュリティ戦略を開発できるようにサポートできるんだ。
タイトル: Unaware, Unfunded and Uneducated: A Systematic Review of SME Cybersecurity
概要: Small and Medium Enterprises (SMEs) are pivotal in the global economy, accounting for over 90% of businesses and 60% of employment worldwide. Despite their significance, SMEs have been disregarded from cybersecurity initiatives, rendering them ill-equipped to deal with the growing frequency, sophistication, and destructiveness of cyber-attacks. We systematically reviewed the cybersecurity literature on SMEs published between 2017 and 2023. We focus on research discussing cyber threats, adopted controls, challenges, and constraints SMEs face in pursuing cybersecurity resilience. Our search yielded 916 studies that we narrowed to 77 relevant papers. We identified 44 unique themes and categorised them as novel findings or established knowledge. This distinction revealed that research on SMEs is shallow and has made little progress in understanding SMEs' roles, threats, and needs. Studies often repeated early discoveries without replicating or offering new insights. The existing research indicates that the main challenges to attaining cybersecurity resilience of SMEs are a lack of awareness of the cybersecurity risks, limited cybersecurity literacy and constrained financial resources. However, resource availability varied between developed and developing countries. Our analysis indicated a relationship among these themes, suggesting that limited literacy is the root cause of awareness and resource constraint issues.
著者: Carlos Rombaldo Junior, Ingolf Becker, Shane Johnson
最終更新: 2023-09-29 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2309.17186
ソースPDF: https://arxiv.org/pdf/2309.17186
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。
参照リンク
- https://osf.io/ps7xy/
- https://tug.org/FontCatalogue/
- https://authors.acm.org/proceedings/production-information/accepted-latex-packages
- https://www.overleaf.com/learn/latex/Bibtex_bibliography_styles
- https://dl.acm.org/ccs.cfm
- https://papers.ssrn.com/sol3/papers.cfm?abstract_id=549082
- https://t.www.na-businesspress.com/JMPP/AnastasiaC_Web16_4_.pdf
- https://www.brookings.edu/wp-content/uploads/2016/06/09_development_gibson.pdf
- https://blogs.worldbank.org/psd/a-universal-definition-of-small-enterprise-a-procrustean-bed-for-smes