調査レポート◎中小企業の情報セキュリティ対策実態調査

　独立行政法人情報処理推進機構（以下、IPA）が5月27日、今年の4月に公表していた「2024年度中小企業における情報セキュリティ対策の実態調査」の速報版に続き、全体版となる報告書を公開しました。

　この調査は、全国の中小企業4191社を対象としたWebアンケートにより実施されたもの。情報セキュリティ対策への意識や被害状況、対策実施における課題、取引先を含む情報セキュリティ対策の実施状況などを調査した結果が、報告書としてまとめられています。

　報告書は、アンケート調査の結果（単純集計／クロス集計）だけでなく、セキュリティに関わる主要な文献調査や前回調査との比較、これらの調査にもとづく考察などが展開された内容です。

　そのボリュームは全285ページにも及び、中小企業のセキュリティ実態の徹底した調査報告書となっています。本稿では、同報告書から特徴的なポイントをピックアップして解説していきましょう。

IT投資とセキュリティ投資の状況、その理由

　まず、IT化やセキュリティ対策の全体像を掴むために、IT投資やセキュリティ投資に関する意識・状況から見ていきましょう。調査結果からは、デジタルシフトやDX、セキュリティ対策に消極的な姿勢がうかがえます。

　直近の過去3期のIT投資額に関する質問では、「投資していない」との回答が最も多く59.7％。投資を行った企業にしても、100万円未満（20.7％）が最多となりました。投資金額が増えるほど比率は減少していく状況の中、ごくわずかですが1億円超を投資（全体の約1%）したという回答も見られます。

　さらに、情報セキュリティ対策の投資額について聞いた質問では、「投資していない」との回答は62.6％にも達しています。セキュリティへの投資を行った企業でも、最大は100万円未満が最多（20.4％）。100万円を超えるセキュリティ投資は全体の10％以下という状況です。

　では、情報セキュリティ対策としての投資を行わなかった理由は何でしょうか。先の質問で「投資していない」と回答した企業に質問した結果が図1です。

図1：情報セキュリティ対策投資額について「投資をしていない」と回答した一番の理由／複数回答（出典：IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書（全体版）」）

　「必要性を感じていない（44.3％）」「費用対効果が見えない（24.2％）」「コストがかかり過ぎる（21.7％）」の上位3項目で、約9割を占めています。

　本メディアのセキュリティ関連記事でも指摘していることですが、中小企業においては「サイバーセキュリティへの危機意識が十分に醸成されていない」ことや、「DX時代にセキュリティはビジネス戦略に組み込んで考えるべき投資であると認識されていない」ことなどが、見て取れる結果といえそうです。

　さらに、報告書では質問をドリルダウンしており、上記で「必要性を感じていない」との回答者に対して、その理由を聞いた結果が図2となります。

図2：情報セキュリティ対策投資について「必要性を感じていない」と回答した理由（出典：IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書（全体版）」）

　最も多かった回答は、「重要情報を保有していないため（36.5％）」。サイバー攻撃のリスクに重要情報の有無は関係ないといわれて久しいですが、そうした意識がまだまだ根付いていないといえそうです。

　また、「事業の継続に大きな影響がないため（25.9％）」、「サイバーセキュリティ被害にあうと思わないため（24.0％）」という中小企業も多く、報告書では「自社がサイバー攻撃にあう可能性や、攻撃を受けた場合の影響を過小評価している可能性」を指摘しています。

　こうしたセキュリティ意識への希薄さについて、報告書では「回答者に小規模企業者も多いことが影響している可能性」に言及しています。とはいえ、後述するように脅威トレンドではサプライチェーンへの攻撃リスクが高まっている状況下、旧態依然とした「大した情報のない中小企業や小規模事業者は狙わることはない」という考え方は、かなり危険ではないでしょうか。

セキュリティ対策に取り組む中小企業の意識・状況

　一方、報告書では情報セキュリティ対策に取り組んだ中小企業の状況についても調査しています。そもそも、その必要性を感じたきっかけは何か。これを示したのが、図3です。

図3：情報セキュリティ対策を実施（または強化）するきっかけとなった理由／複数回答（出典：IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書（全体版）」）

　「法令の制定や改訂への対応（20.0％）」「取引先からの要請（11.9％）」「業界基準の制定・業界団体の呼びかけ（9.2％）」など、全体的に社会的変化や提案など外的要因が契機になっているケースが多い状況です。そうした中、「重要情報（個人情報・営業秘密・技術情報等）の保持（14.2％）」といった自発的な理由も見られました。

　さらに、セキュリティ対策に期待する効果についても質問しており、「従業員の情報セキュリティへの意識向上（48.3％）」が最多で、これに「対処すべきリスクの特定（35.6％）」が続きます。また、「取引先からの信頼獲得（22.4％）」や「助成金・補助金の獲得（9.1％）」、「取引機会（新規）の増加（8.9％）」といった実利的な効果を期待する傾向も見られました。

　調査からは、具体的な対策についても読み取れます。下記の図4は、「情報セキュリティ関連製品やソフトウェアの導入状況」を質問した結果です。

図4：情報セキュリティ関連製品やソフトウェアの導入状況／複数回答（出典：IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書（全体版）」）

　その導入状況は、「ウイルス対策ソフト・サービスの導入（80.0％）」が最も高く、「ファイアウォール（37.3％）」と「ウェブ閲覧のフィルタリングソフトウェア（22.4％）」、さらに「VPN（17.7％）」と続きます。

　最低限取り組むべき基本的なセキュリティ対策にとどまり、それ以外のセキュリティソリューションの導入は進んでいない状況です。同調査では、図1において「対策の必要性を感じたことがない」との回答者を含みません。こう回答した企業では、基本的なセキュリティ対策さえ行なっていない可能性も考えられます。

　いずれにしても調査からは、中小企業では情報セキュリティへのリスク意識が浸透しておらず、諸々の対策はこれからという状況が見て取れるのではないでしょうか。

サイバーインシデントの被害状況について

　次に、サイバー攻撃によるインシデントの被害状況について見ていきましょう。調査によると、約2割の事業者が被害にあったと回答しており、被害内容としては「コンピューターウイルス感染」や「不正アクセス」、「ランサムウェア攻撃」などが挙げられています。

　こうしたサイバー攻撃によるインシデントは、ビジネスにどう影響したのでしょうか。その調査結果が図5です。

図5：サイバーインシデントによる影響で生じた被害／複数回答（出典：IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書（全体版）」）

　「データの破壊（35.7％）」をトップに、「個人情報の漏えい（35.1％）」「ウイルスメール等の発信（21.5％）」「業務情報の漏えい（21.3％）」「営業秘密の漏えい（15.1％）」と続きます。

　自社被害が多いですが、「取引先への感染拡大（3.2％）」との回答もあり、サプライチェーンにおけるリスクも顕在化していることがうかがえます。

　アンケートでは、サイバーインシデントにより自社の取引先（サプライチェーン）に影響があったか否かも調査。「影響があった」とした企業が、約7割に達しています。また、影響があった場合の具体的な内容についも質問しており、以下（図6）の結果となっています。

図6：自社のサイバーインシデントによる取引先への影響／複数回答（出典：IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書（全体版）」）

　また、中小企業におけるセキュリティ被害の規模を示すものとして、「過去3期に発生したサイバーインシデントで生じた被害金額・発生回数・復旧期間」についての調査結果が記載されています。

　それによると、平均値においては被害総額約73万円、発生回数1.1回、復旧期間5.8日となっています。最大値は同じく1億円／40回／360日と、かなり大きな被害が発生している事実が見て取れます。

具体的なセキュリティ対策への取り組み状況

　報告書では、情報セキュリティ対策の状況について、より細かく調査を実施した結果もまとめられています。25項目からなる同調査は、中小企業自らが情報セキュリティ対策に取り組むことを宣言する制度「SECURITY ACTION」における二つ星（取り組み目標のグレード）に該当する項目で構成されています。

　情報セキュリティ対策における基礎中の基礎ともいえる「OSやソフトウェアを最新の状態に保つ」「ウイルス対策ソフトを導入する」といった対策についての回答結果が図7と図8です。

図7：PCやスマホなど情報機器のOSやソフトウェアを常に最新の状態にしているか（出典：IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書（全体版）」）

図8：PCやスマホなどにウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしているか（出典：IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書（全体版）」）

　パソコンやスマホなどの情報機器においてOSやソフトウェアを常に最新状態にしている、ウイルス対策ソフトを導入している事業者は、いずれも半数を少し超える程度。「一部実施している」との回答を含めると7割強で取り組まれている一方、実施していない事業者も2割ほど存在します。

　また、不正アクセスへの対策の一環であるパスワード設定やデータへのアクセス制限に関する調査も実施されています。

図9：破られにくいパスワードに設定しているかどうか（出典：IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書（全体版）」）

　パスワードを破られにくい「長く」「複雑な」パスワードに設定しているかどうかを尋ねた質問では、「実施している」と回答した企業は3割強、「一部実施している」との回答も含めると、約6割が実施ているという状況です（図9）。

図10：重要情報に対する適切なアクセス制限（出典：IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書（全体版）」）

　データのアクセス対策はさらに低く、重要情報に対する適切なアクセス制限を行なっていると回答した企業は全体の25.8％にとどまりました。一部実施を含めても5割に満たない結果となっています（図10）。

　これら以外の対策、例えば「無線LANの暗号化方式の設定」や「離席時のパソコン画面ロック」、「ネットやSNS対策」といった取り組みについては、軒並み2割から3割程度の実施状況となっています。さらに、「セキュリティポリシーの設定」や「従業員への教育・注意喚起」、「サイバー攻撃や脅威情報の社内共有」、「インシデント発生時の対応環境整備」など、セキュリティ環境の体制整備に関連する取り組みについての実施率は10％台という状況です。

　以上、本稿では調査結果（単純集計）から特徴的なものをピックアップして中小企業におけるセキュリティ対策の実態を解き明かしました。全体の傾向としては、ある定程度の対策に取り組んでいる傾向は見て取れるものの、高度化するサイバー攻撃への備えとしては十分とはいえないでしょう。

　特に、セキュリティレベルは最も低い水準に沿うといわれるように、部分的に高度な対策を導入していても、他が抜け落ちていてはリスク削減にはつながりません。

　この実態調査報告書は冒頭で言及した通りボリューミーな報告書だけに、さまざまな視点からまとめられています。

　単純集計結果についても、本稿で紹介したのは一部のみ。セキュリティ認定取得や社員教育、外部研修の活用状況、攻撃種別の対策など、多方面の質問により調査結果がまとめられています。また、企業規模や所在地、専門部署の有無などによるクロス集計（2つ以上のカテゴリーや変数を組み合わた集計方法）、分析なども掲載されています。

　セキュリティ対策に直接役立つというわけではありませんが、他社の実態を知ることで、自社のセキュリティ戦略の現在地や目標設定の参考としてはいかがでしょうか。