4分の1が「サイバー攻撃対策はしていない」実態、原因は? ―損保協会が調査結果公表
「自社がサイバー攻撃の対象になりうる」危機感のある中小企業は1割未満
2020年01月30日 07時00分更新
自社がサイバー攻撃の対象になりうるという危機感を持つ中小企業は、1割にも満たない――。一般社団法人 日本損害保険協会(損保協会)は2020年1月28日、調査レポート「中小企業の経営者のサイバーリスク意識調査 2019」を発表した。
企業へのサイバー攻撃が激しさを増す中でも、多くの中小企業経営者は「攻撃によってどんな被害があるのか」を十分にイメージできておらず、経営課題としての「サイバーリスク対応」も優先度が極めて低いなど、セキュリティ対策が遅れている原因を示唆するものとなっている。
「Q:貴社がサイバー攻撃の対象となる可能性は、どの程度あると考えていますか」。中小企業では「高い/やや高い」の合計はわずか6.2%にとどまり、大企業との大きな意識差がある
「サイバーリスク」やサイバー攻撃被害への理解度が低い中小企業
この調査は、中小企業の経営者/役員825人を対象として、2019年11月にインターネット調査で実施されたもの(「中小企業」の定義は中小企業法に基づく。調査実施はマクロミル)。回答者の内訳は、製造業が258人、非製造業が361人。なお、比較対象とするために、大企業の経営者/役員207人にも同じ調査を実施している。
損保協会では2018年度に「サイバー保険に関する調査2018」を実施したが、そこでは企業規模が小さいほどサイバーリスクに対する危機意識が薄く、取り組みが進んでいない実態が明らかになった。そこで、今年度は中小企業層を主な対象として、サイバーリスクに対する意識や対応実態を把握することを目的に調査を実施した。
調査結果ではまず、さまざまな経営課題の中で「サイバーリスクへの対応」の優先度が「極めて低いこと」が指摘されている。「優先度の高い経営課題」上位3つを回答する設問で、「サイバーリスクへの対応」を選んだ中小企業はわずか1.6%だった。
「Q:貴社の経営課題について、優先度の高いものをお選びください(3つまで)」。「サイバーリスク対応」の優先度は非常に低い
また、現在実施しているサイバー攻撃への対策内容を問う設問においても、およそ4分の1(24.0%)の中小企業が「対策はしていない」と回答し、最も多い対策「OSやソフトウェアの脆弱性管理、ウイルス対策ソフトの導入」でも半数程度(52.4%)にとどまる。
「Q:貴社では、現在、サイバー攻撃に対して対策を行っていますか」(あてはまるものをすべてを選択)。中小企業のおよそ4分の1が「対策はしていない」と回答
こうした対策の遅れの背景としては、中小企業経営者層におけるサイバーリスクに対する理解度の低さが考えられる。サイバーリスクについては80%以上が認知しているものの、「内容について詳しく知っている」と回答した中小企業は約3割(27.2%)。
同様に、サイバー攻撃についてもその被害を「十分/ややイメージできている」中小企業は約5割(49.4%)にとどまり、大企業経営者の理解度(8割以上が「十分/ややイメージできている」と回答)とは大きく乖離している。
「Q:あなたは、サイバーリスクについてどの程度ご存知ですか」
「Q:サイバー攻撃によって貴社が被る被害について、どの程度イメージできていますか」
「自社が攻撃対象となる」危機感は薄いが、実際には約2割が攻撃を経験
中小企業層においては、「自社はサイバー攻撃の対象にはならない/なりにくい」とする考えも根強いようだ。自社がサイバー攻撃の対象になる可能性が「高い」と考える中小企業はわずか1.0%で、「やや高い」(5.2%)を加えても1割に満たない。さらに細かく従業員数別に見ると、そうした傾向がより顕著に表れる。
上記の設問で「そう考える理由」を尋ねた結果を見ると、「企業規模(従業員数、資本金など)」を挙げる中小企業がおよそ半数(49.7%)、次いで「個人情報の保有件数」(30.1%)、「知的財産(特許、その他高度な企業機密など)」(27.4%)が多い。
「Q:貴社がサイバー攻撃の対象となる可能性は、どの程度あると考えていますか」。規模が小さい企業ほどリスクを低く見積もる傾向にある
だが、現実には中小企業であってもサイバー攻撃とは無縁ではない。中小企業回答者のおよそ2割(18.8%)が、これまでに自社がサイバー攻撃の被害に遭った経験を持っている。
被害の内訳は「ビジネスメール詐欺やフィッシングサイト」(33.2%)、「マルウェア」(24.5%)、「ランサムウェア」(18.2%)など。被害額は「50万円未満」(44.4%)が最も多いが、中には「1000万~1億円未満」の大きな被害を経験した中小企業もある。
「Q:(サイバー攻撃の被害経験のある企業に)その被害内容をすべてお選びください」
なお、サイバー攻撃被害や賠償責任などに対応するための損害保険「サイバー保険」について、認知している(「内容について詳しく知っている」「名称のみ知っている」)中小企業は33.5%だった。
またサイバー保険を認知している層でも、実際に「加入している」は6.9%、「過去に加入したことがある」は2.9%と、合計しても1割に満たなかった。サイバー保険への加入が「必要/やや必要だと感じている」中小企業も21.3%と、大企業の約半分の割合にとどまる。
「Q:(サイバー保険の加入経験がある企業に)サイバー保険に加入した理由について、あてはまるものをすべてお選びください」。中小企業では「会社の信用力向上につながるから」「保険会社や保険代理店から提案があったから」が多い
なお同調査結果レポートの詳細は、損保協会の「サイバー保険」特設サイトで公開されている。
