対策実施状況公開 改善はわずか
独立行政法人情報処理推進機構(IPA)は、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」を公開した。本調査は、全国の中小企業4191社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査した。その結果、「2021年度調査」と比べて情報セキュリティ対策の実施状況の改善はわずかであり、さらなる対策の必要性が明らかになった。
主なポイントは次の通り。
■OSやウイルス対策ソフトの最新化を実施している企業は約7割
「5分でできる!情報セキュリティ自社診断」(以下「自社診断」)の項目について、「実施している」および「一部実施している」を合わせた割合は「パソコンやスマホなど情報機器のOSやソフトウエアは常に最新の状態にしていますか?」(73.0%)が最も高く、次いで「パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしていますか?」(71.4%)であった。
基本的なセキュリティ対策はある程度定着していることがうかがえる。
一方、低かったのは「新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?」(37.9%)、次いで「情報セキュリティ対策(上記1~24など)をルール化し、従業員に明示していますか?」(39.2%)、「セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?」(39.8%)であった。
組織的に取り組む必要のあるセキュリティ対策が進んでいないことがうかがえる。
■情報セキュリティ対策実施によりサイバーインシデント被害が低減した
「自社診断」の25項目を「実施している…4点」「一部実施している…2点」「実施していない…0点」「分からない…マイナス1点」で点数化し、25項目の対策状況を採点したところ、合計点が高い企業ほどサイバーインシデントによる影響を「特になし」と回答した割合が高い傾向となった。情報セキュリティ対策の実施により、サイバーインシデント被害(影響)の低減が期待される。
■セキュリティ体制を整備している企業の約6割は、対策実施が取引につながったと実感 取引先(発注元企業)から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、セキュリティ体制の整備がされている(専門部署(担当者)がある)企業の59.8%が、発注元からの要請でサイバーセキュリティ対策を行ったことが取引につながったと回答しているのに対し、セキュリティ体制の整備がされていない(セキュリティ対策は各自の対応に任せている)企業は24.2%にとどまっている。
この結果は、取引先から要請を受けた企業において、セキュリティ体制が整備されている企業の担当者の方が、対策の実施が取引上の信頼を得るための重要な要素であると実感していることを示している。
IPAは本書の公開により、中小企業において、情報セキュリティの認識が向上し、情報セキュリティ対策が進むことを期待している。組織内外での啓発活動などで活用いただきたい。
(独立行政法人情報処理推進機構・江島将和)
「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書」についてはこちら
