24年度調査を公開 支援の必要明らかに
独立行政法人情報処理推進機構(IPA)は、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開した。本調査は、全国の中小企業4191社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを取りまとめた。その結果、「2021年度調査」と比べて情報セキュリティ対策の実施状況の改善はわずかであり、さらなる対策の必要性の訴求や、対策の実践に向けた支援の必要性が明らかになった。主なポイントは次の通り。
(ポイント①)サイバーインシデントにより取引先に影響があった企業は約7割
23年度にサイバーインシデントの被害を受けたと回答した企業は975社で全体の23.3%。そのうち約3割に相当する「特になし」を除くと、約7割が「サイバーインシデントにより取引先に影響があった」と回答した。影響があったと答えた企業のうち、「取引先にサービスの停止や遅延による影響が出た」との回答は36.1%。また、「個人顧客への賠償や法人取引先への補償負担の影響が出た」との回答が32.4%、「原因調査・復旧に関わる人件費等の経費負担があった」との回答も23.2%であった。
サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼし、事業の継続性を脅かす実情を浮き彫りにしている。
(ポイント②)不正アクセスされた企業の約5割が脆弱(ぜいじゃく)性を突かれ、他社経由での侵入も約2割
23年度にサイバーインシデントの被害を受けた企業のうち「不正アクセス被害を受けた」と回答した企業は419社で43.0%。サイバー攻撃の手口を聞いたところ、「脆弱性(セキュリティパッチの未適用等)を突かれた」との回答が48.0%で最も多く、次いで、「ID・パスワードをだまし取られた」との回答が36.8%であった。「取引先やグループ会社等を経由して侵入」との回答も19.8%あり、サプライチェーン上のセキュリティリスクが読み取れる。
取引につながるセキュリティ投資
(ポイント③)セキュリティ対策投資を行っている企業の約5割が、取引につながった
取引先(発注元企業)から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、取引先(発注元企業)から要請された情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因だと回答した企業は42.1%。また、情報セキュリティ対策投資別に見てみると、過去に情報セキュリティ対策投資を行っている企業の49.8%が、発注元からの要請でサイバーセキュリティ対策を行ったことが取引につながったと回答しているのに対し、情報セキュリティ対策投資を行っていない企業では27.4%にとどまっている。
IPAは本書の公開により、中小企業において、情報セキュリティの認識が向上し、情報セキュリティ対策が進むことを期待している。詳細な報告書は4月頃にIPAのウェブサイトで公開予定である。組織内外での啓発活動などで活用いただきたい。
「2024年度中小企業等実態調査結果速報版」についてはこちら
(独立行政法人情報処理推進機構・江島将和)
