NEW
中小企業の情報セキュリティ対策の実態
組織的対策を行っていない企業が約7割
企業のサイバーセキュリティが不十分な場合、事業活動に支障が生じるだけでなく、
重要情報の流出や製品・サービスの供給停止などで取引先にも影響を及ぼす可能性があります。
ここでは、独立行政法人情報処理推進機構の調査を
もとに中小企業の情報セキュリティ対策の現状を見ていきます。
独立行政法人情報処理推進機構(IPA)は2月に
「2024年度中小企業等実態調査結果」(速報版) を公開しました。
これは、中小企業の情報セキュリティ対策への取り組みや
被害の状況などについてアンケート調査したものです。 調査によると、
2023年度にサイバーインシデントの被害を受けたと答えた企業は、4191社中975社でした。
被害の内容については、「データの破壊」や「個人情報の漏えい」が多く見られます (図表参照)。
また、被害を受けた企業の約7割が「サイバーインシデントにより取引先に「影響があった」と回答しました。
その内容(複数回答)は、「取引先にサービスの停止や遅延による影響が出た」(36.1%) が最も多く、
次いで「個人顧客への賠償や法人取引先への補償負担の影響が出た」(32.4%)、
「原因調査・復旧に関わる人件費等の経費負担があった」(232%)と続いています。
調査は、「サプライチェーン全体でのサイバーセキュリティの不備が、
取引先にも深刻な影響を及ぼし、事業継続性を脅かす実情を浮き彫りにしている」と述べています。
被害額の平均は73万円
次に、過去3期に発生したサイバーインシデントで生じた被害額を見ると、その平均額は73万円。
100万円以上の被害を受けた企業の割合は9.4%(最大で1億円)で、
過去3期内で10回以上のサイバーインシデント被害に遭った企業は1.7%(最大で40回)となっています。
また、復旧までに要した期間の平均は5.8日であり、
50日以上を要した企業が2.1%(最大で360日) ありました。
大企業のみならず、中小企業でもサイバーインシデントによる甚大な被害が起きていることがわかります。
コストも対策実施の課題
一方、情報セキュリティ対策への投資状況は、62.6%の企業が過去3期において「投資をしていない」と回答。
社内の情報セキュリティ対策の体制も「専門部署(担当者)がある」企業は9.3%で、
「組織的対策を行っていない (各自の対応)」が69.7%に上っています。
情報セキュリティ対策への投資を行わなかった理由としては、「必要性を感じていない」(44.3%) が最多。
次いで「費用対効果が見えない」(24.2%)、「コストがかかりすぎる」(21.7%)が続いています。
IPAでは中小企業に向けて、民間事業者のセキュリティサービスを
ワンパッケージにまとめた「サイバーセキュリティお助け隊サービ ス」を提供しています。
このサービスは、IT導入補助金(セキュリティ対策推進枠)の支援対象です。
また、経済産業省のウェブサイト内の「サイバーセキュリティ政策」でも
サイバーセキュリティ対策に関する情報を発信しています。
