MSPは、楽観的過ぎる中小企業にサイバーセキュリティ製品をどのように販売すればいいのか

Adrien Gendre

9月 19 2019

1 分で読める

すでにこのセリフを聞いたことがあるなら、私を止めてください。「うちの会社に、そんなことは起こりません」 これは、サイバーセキュリティへの投資に乗り気でない中小企業の間で、よく耳にするセリフです。新しいサイバーセキュリティソリューションの購入を拒む理由としては、この他にも、「当社は、規模が小さすぎて標的にはなりません」や「ハッカーが欲しがるものなんて、うちには何もありません」などが挙げられます。 中小企業には、企業のIT予算がないのかもしれませんが、そこには、予算意識以外にもいろいろな要因があります。

楽観バイアスは、悪い結果よりも良い結果を体験することになるだろうと信じる人々の心理的な反応です。これは「不死身幻想」という言葉でも知られていますが、言い換えるならば、楽観的過ぎるということです。この考え方は、厳しい状況下では長所となりますが、サイバーセキュリティに関して言えば、非常に認識が甘いということになります。

反発に反論する

顧客が、自分たちは標的にはならないと確信している場合、サイバーセキュリティに出資するように彼らを説得するためには、確かなデータを提供し、貴社の見込み客をいくつかの辛い真実と向き合わせる必要があります。以下は、新しいサイバーセキュリティの購入に対する最もよく耳にする顧客の反発とそれに反論する方法です。

「うちの会社には、そんなことは起こりません」

多くの顧客が、自分たちは絶対にサイバー攻撃の標的にはならないと公言します。楽観バイアスであろうと、情報不足であろうと、この態度が貴社の顧客を脆弱にします。この反発に直面したら、攻撃を受けることはないと信じている中小企業の数と実際に攻撃を受けた中小企業の数の格差を、顧客に提示しましょう。

「うちの会社は、規模が小さすぎて標的にはなりません」

中小企業は、IT予算が比較的低いから、ITリソースもより少ないという認識が、中小企業を非常に魅力的で楽に騙すことのできる標的にしています。過去数ヵ月にわたって、たくさんの地方自治体が、組織的なランサムウェア攻撃を受けましたが、私たちは、この例をいくつも見てきました。これらのケースでは、組織の規模の小ささが攻撃された理由であることは明らかです。ITリソースが、より少ないということは、地方自治体のシステムに侵入するのが比較的容易だということを意味し、すぐに被害から回復するための予算も社内の専門家も有していないだろうことも示しています。

ほとんどの中小企業がサイバー攻撃を考える場合、Equifax、Target、Sony、Facebookなどの有名な漏洩事件を含む、世間の注目を浴びるようなケースを考える傾向があります。中小企業への攻撃は、ほとんどニュースにならないため、誤った情報を与えています。「うちの会社は小さすぎる」という集団を打ち破るために、会社の規模は関係ないという例を彼らに提示しましょう。

「費用が高すぎる」

サイバーセキュリティスタックは、確かに高額ですが、サイバー攻撃に遭った場合も高額な損失を被ります。ランサムウェア攻撃によって停止状態に追い込まれたシステムを回復するために60万ドルを支払ったフロリダ州リビエラビーチ市に尋ねてみてください。同市は、この出費に加えて、漏洩事件の結果として、新しいコンピューターとシステムを導入することになり、その費用として、さらに100万ドルを支出することになっています。この攻撃は、メール内のフィッシングリンクをクリックして、マルウェアをダウンロードしてしまった職員が原因です。

サイバーセキュリティ―スタックの構築は、その専門家、つまり、MSPに任せるのがベストです。顧客にサイバーセキュリティへの投資を勧めるために、貴社と貴社の顧客の両方に、最大限の効果を発揮しながら、大きな節約をもたらすセット販売のソリューションを提供しましょう。データ漏洩が、いかに高額な損失を招くかを思い出させるために、中小企業の実際の損失額の例を提示しましょう。

「ハッカーが欲しがるものなんて、うちには何もありません」

サイバー犯罪に関する大きな誤解は、ハッカーは常に高額な支払いを狙っているという認識です。常にそうだとは限りません。Vadeで目にする最近の傾向は、同じ標的に対する複数のスピアフィッシング攻撃です。それらの攻撃の一つ一つは、少額の送金を要求するものですが、それが徐々に積み重なっていきます。これらの攻撃は、支払額が少ないために長期間気づかれない場合がよくあります。そのため、ハッカーは、さらに時間をかけることができ、被害者の信頼を得て、さらなる攻撃を仕掛ける余裕を手に入れます。

中小企業が何十億もの価値を持つことはないかもしれませんが、中小企業の社員には、パスワード、個人特定情報、銀行口座情報などのハッカーの利益となる情報が数多くあります。最後に、中小企業は、より大きな標的、つまり、自社の顧客への不正な侵入口になることがよくあります。2013年の起きたTargetのデータ漏洩は、Targetの空調設備業者であるFazio Mechanical Servicesへ送信されたメールによって届けられたマルウェア攻撃の結果として起こりました。Targetは、データ漏洩に関して、最終的に4億ドル以上を支払いましたが、Fazio Mechanical Servicesは、さまざまな間違った理由で有名になってしまいました。盗む価値のあるものは自分たちには何もない、と考えている中小企業は、これらの統計に興味を示すことでしょう。

  • 中小企業の44パーセントが社員のパスワード漏洩を経験しており、その結果、回復費用として383,000ドル以上を支払った。
  • データ漏洩を経験した中小企業は、平均で10,848件の個人記録を失った。
  • データ漏洩を経験した中小企業の58パーセントは、社員や請負業者の過失をとがめた。

「当社は、サイバー保険をかけています」

保険会社にとって、これは朗報です。最近起きたフロリダ州レイクシティのランサムウェアのケースを考えてみましょう。このケースでは、結果として、6桁の金額の身代金の支払いが行われました。ProPublicaが行った調査によると、身代金の支払は、保険会社にとっては、比較的に少額だということです。というのは、保険会社は、被害者に対して、ビジネスコスト(ダウンタイム、生産性の損失、新システムの導入)を補償したり、訴訟費用や、評価的な損害の回復と関連した広報活動費用を支払ったりする必要はないからです。

サイバー保険に加入しているからといって、サイバーセキュリティを疎かにしてよいわけではありません。訴訟費用、ランサムウェアの支払い、および、新たなコンピュータシステムの導入費用を賠償するポリシーはたくさんあるでしょうが、サイバー攻撃に関連した事業の損失を補償してくれるポリシーはないでしょう。

レイクシティの場合、市の自治体は、24ビットコイン、あるいは46万ドルを支払って、ランサムウェアの暗号解読キーを入手しましたが、それは、想定通りには機能しませんでした。保険会社は、身代金の支払いをはるかに上回る可能性のある損害の補償を回避しました。レイクシティは、すべてのファイルではなく、いくつかのファイルを復元するのみにとどまり、レイクシティのIT部長は解雇されました。サイバー保険は、マストアイテムですが、特効薬ではありません。貴社の顧客に、サイバーセキュリティが他のどのポリシーよりも優れた保険である理由を説明しましょう。

「当社の現行のソリューションで十分」

貴社の見込み客や顧客を、基準以下から優れたソリューションに向上させることは、双方に利益をもたらします。つまり、顧客は、攻撃からより確実に保護されることになり、貴社は、攻撃の副次的な影響をより確実に回避できることになります。規模の小さな中小企業は、49,000ドル以上の金額をサイバー攻撃からの回復のために支出する恐れがあるにもかかわらず、中小企業の74パーセントが、サイバー攻撃に関して、自社が利用しているMSPに対して訴訟を起こすとされています。

より優れたソリューションの有用性を、トランスペアレントな概念実証(POC)を使ってデモンストレーションしましょう。この概念実証によって、いかに多くの脅威が、顧客の現行の対策をすり抜けているかを顧客に正確に提示することができます。トランスペアレントなPOCでは、新しいソリューションは、貴社の顧客や見込み客のシステムを監視しますが、システム上で行動を起こすことはありません。例えば、Office 365のためのVadeを使って、私たちは、顧客のメールトラフィックを監視しますが、ユーザーのメールボックスのメールを阻止したり、除去したりするようなことはありません。二週間後に、顧客や見込み客に対して、いかに多くの脅威が彼らの現行のシステムを迂回しているのかを提示して、それらの脅威が彼らのビジネスに及ぼし得る影響を説明することができます。

New call-to-action

追加のリソース