情報処理推進機構(IPA)は、2025年2月14日、2024年度の「中小企業における情報セキュリティ対策の実態調査報告書」の結果を公表した。IPAは、2016年度と2021年度にも同調査を実施しており、今回は、全国の中小企業4191社を対象としている。
サイバー被害額の平均は73万円、7割が取引先にも影響
調査対象企業のうち、2023年度にサイバーインシデントの被害を受けた企業は、およそ4分の1にあたる975社。また、過去3期内に被害を受けた企業では、平均で73万円(最大で1億円)の被害額が発生し、復旧までに要した期間の平均は5.8日だった。過去3期内で10回以上の被害に遭ったという企業も1.7%(最大で40回)存在する。
サイバーインシデントによる影響は、「データの破壊」と回答した企業が最多の35.7%、次いで「個人情報の漏えい」が35.1%だった。
サイバーインシデントによる被害
2023年度、不正アクセス被害を受けたという419社に攻撃の手口を聞いたところ、「脆弱性を突かれた」が48.0%で最も多く、次いで「ID・パスワードをだまし取られた」が36.8%に。「取引先やグループ会社等を経由して侵入」との回答も19.8%に上り、サプライチェーン上のセキュリティリスクが読み取れる。
さらに、2023年度にサイバーインシデントの被害を受けた企業では、約7割が「サイバーインシデントにより取引先に影響があった」と回答。その具体的な内容は、「取引先にサービスの停止や遅延による影響が出た」が36.1%、「個人顧客への賠償や法人取引先への補償負担の影響が出た」が32.4%、「原因調査・復旧に関わる人件費等の経費負担があった」が23.2%となった。サイバーインシデントの被害が、取引先にも深刻な影響をおよぼし、事業の継続性を脅かす実情が明らかになっている。
サイバーインシデントによる取引先への影響
約6割が過去3期セキュリティに未投資、3年前の約3割から後退
今回の調査で「情報セキュリティの専門部署がある」とした企業は9.3%にとどまる。それでも、2016年度調査では8.5%、2021年度は8.7%だったため、過去と比べれば少しずつ増加している。ただし、「組織的対策を行っていない(各自の対応)」企業が大幅に増加し、約7割の企業が組織的なセキュリティ体制を整備していないのが実態だ。
情報セキュリティ体制
また、過去3期において、情報セキュリティ対策に「投資していない」企業も62.6%に上った。2016年度は55.2%、2021年度は33.1%と、いったん減少した3年前からまた大きく増加した形だ。投資をしていない理由としては、「必要性を感じていない」が44.3%と最も多く、「費用対効果が見えない」(24.2%)、「コストがかかりすぎる」(21.7%)が続く。資金が限られる中で、情報セキュリティ投資に踏み出せない中小企業の実情が伺える。
直近過去3期の情報セキュリティ対策投資額
セキュリティ投資をする企業の約5割が取引につながる
取引先(発注元企業)から情報セキュリティ対策に関する要請を受けたことのある企業(511社)のうち、取引先から要請された対策を実施したことが「取引につながった大きな要因」だと回答した企業は42.1%となった。
また、情報セキュリティ対策への投資別にみると、過去に情報セキュリティ対策投資を行った企業の49.8%が、発注元からの要請で対策を実施したことが取引につながったと回答しているのに対して、投資を行っていない企業では27.4%にとどまっている。
情報セキュリティ対策投資が取引につながったか
近年、サプライチェーン上の弱点を狙って、攻撃対象への侵入を図るサイバー攻撃が顕在化・高度化している。IPAは、サプライチェーンを構成する中小企業がサイバー攻撃に対する対策が不十分な場合、「当該企業等の事業活動に支障が生じ得ることに加えて、重要情報の流出や、製品/サービスの供給停止など、取引先事業への影響や、当該企業を踏み台にして取引先が攻撃されるおそれ等があります」と指摘している。
本調査は、全国の中小企業4191社の経営層に対して、2024年10月から11月に実施。今後、2025年4月には、詳細な報告書である完全版(仮称)の公開を予定している。
