21年度の調査報告書を公開

独立行政法人情報処理推進機構（IPA）は3月、「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開した。16年度調査（前回調査）との比較では、中小企業における対策の実施状況の改善はわずかであり、さらなる対策の必要性の訴求や対策の実践に向けた支援の必要性が明らかになった。主な調査結果を紹介する。

■過去3期における「IT投資」「情報セキュリティ投資」を行っていない企業は共に約3割

過去3期における「IT投資」の状況について、「投資を行っていない」と回答した企業は30%。また、過去3期の「情報セキュリティ対策投資」についても「投資を行っていない」と回答した企業は33･1%であった。

「IT投資」については前回調査（47･7%）と比較すると17･7%の改善と考えることができ、ITの導入・活用が中小企業においても一定程度、進んでいる様子がうかがえる。

情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない」の割合が最も高く40･5%で、「費用対効果が見えない（24･9%）」、「コストがかかり過ぎる（22･0%）」が続いている。なお、中小企業（101人以上）の「その他」の割合が高く、これには「親会社が投資しているため自社負担がない」といった趣旨の回答が多くあった。

■情報セキュリティ対策の実施状況は、5年前と比べて改善はわずか

被害防止のための組織面・運用面の対策の実施状況について、前回調査の結果と比較すると、大半の項目で対策実施の割合が増加している。特に、「情報セキュリティ対策の定期的な見直し」については17･4%と前回調査（5･6%）から10%以上増加した（図表）。

一方、情報セキュリティ関連製品やサービスの導入状況について、「VPN（仮想専用ネットワーク）」の導入については17･1%と前回調査（11･9%）から5･2%増加しているものの、その他の情報セキュリティ関連製品やサービスについては前回調査と大きな差がない状況であった。

■情報セキュリティ被害に「遭っていない」との回答が84･3%

20年度の1年間に情報セキュリティ被害に遭ったか否かを聞いた設問では、84･3%が「被害に遭っていない」と回答した。何らかの被害に遭った企業は5･7%で、最も多い回答は「コンピュータウイルスに感染（2･7%）」であった。

また、コンピュータウイルスの被害を認識している企業のうち、想定される侵入経路は「電子メール」の割合が最も高く62･2%で、「インターネット接続（ホームページ閲覧など）（45･9%）」「自らダウンロードしたファイル（23･4%）」が続いた。

しかし、20年度の「中小企業サイバーセキュリティ対策支援体制構築事業（サイバーセキュリティお助け隊事業）成果報告書」では、中小企業1117社に設置した機器が外部からの不審なアクセスを18万1536件も検知したことが明らかになっている。先述の情報セキュリティ対策の実施状況を踏まえると、回答企業においてサイバー攻撃を認識できていない可能性も否定できない。

本調査報告書についてはIPAのウェブサイトに掲載している（下部URL参照）。また、個別のインタビュー調査に基づく61件の取り組み事例を事例集として取りまとめ、後日公開を予定している。事例集は、情報セキュリティに関する取り組み内容が充実している、もしくは投資が多い事例や、被害実態などのある事例、サプライチェーン上での要請が多い事例などを選定。調査報告書と併せて自社の取り組みの参考にしてほしい。 （独立行政法人情報処理推進機構・江島将和）

調査報告書の詳細はこちら ▶ https://www.ipa.go.jp/security/fy2021/reports/sme/index.html