パロアルトネットワークスは、2024年8月8日、2024年版の「日本国内の中小企業のサイバーセキュリティに関する実態調査」の結果を公表した。
同調査ではまず、国内中小企業(従業員数50〜499名)の44%が、2023年にサイバー攻撃や内部犯行による被害を経験していることが分かった。被害内容は、上位から「マルウェア感染」(26%)、「システム・サービス障害」(20%)、「個人情報漏えい」(15%)と続く。
被害経験を地方別にみると、「九州・沖縄地方」(56%)、「近畿地方」(55%)、「東海地方」(52%)の3地方が50%を上回った。製造業と非製造業で比べると、製造業(51%)が非製造業(42%)を上回る。同社は、「製造業ではマルウェア感染や機密情報漏えいが、非製造業に比べて顕著になり、知的財産が脅かされている可能性も考えられる」と分析する。
国内中小企業のサイバー犯罪被害の現状
中小企業におけるセキュリティ対策の現状はどうか。社内でセキュリティを担う担当者について、40%の企業が「IT担当が兼務」、34%の企業が「非IT人材が兼務」しており、セキュリティ業務「専任の担当者」がいるのは15%にとどまった。担当者不在の企業も9%あり、中小企業でのセキュリティ人材不足が浮き彫りになっている。
外部委託(セキュリティ製品・サービスの運用や保守)の有無については、外部委託している企業が63%となった。その内の29%が運用・保守内容を把握していないという。
国内中小企業におけるセキュリティ人材と運用の現状
利用するセキュリティ製品・サービスについては、購入した販売元の40%が「大手の販売会社」であり、「地場の販売会社」(19%)、「メーカー直販」(15%)が続く。加えて、61%の企業が購入時の情報源を「販売元」としており、中小企業のセキュリティ強化においては販売元が重要な役割を果たしていることが分かる。
セキュリティ製品・サービスを選ぶ基準については、「性能の良さ」が49%と他と差をつけて一番となり、「運用コスト」(30%)、「管理のしやすさ」(28%)が続いた。
国内中小企業のセキュリティ製品・サービス選定の現状
同調査は、従業員50〜499名の中小企業における、セキュリティ製品・サービスの購入における決裁権者・選定権者523名を対象に、2024年3月に実施された。
