この記事は会員限定です。会員登録すると全てご覧いただけます。
パロアルトネットワークスは2024年8月8日、「日本国内の中小企業のサイバーセキュリティに関する実態調査 2024年版」を公開した。
同調査は2024年3月14〜18日、従業員50〜499人の中小企業でセキュリティ製品・サービス購入における決裁権者および選定権者523人を対象に実施した。
調査から、中小企業の83%でセキュリティの専門知識を持つ人材が不在している一方で36%はセキュリティの運用・保守を未契約であることなどが分かった。
この他、主な調査結果は以下の通りだ。
- 実際の被害状況: 今回の調査対象の44%が2023年にサイバー攻撃や内部犯行による被害を経験した。被害内容の上位3位はマルウェア感染(26%)、システム・サービス障害(20%)、個人情報漏えい(15%)だった
- 50%を超えた3地方: 九州・沖縄地方(56%)、近畿地方(55%)、東海地方(52%)の3地方は被害経験が50%を上回り、東海地方、九州・沖縄地方はマルウェア感染(38%、37%)や個人情報漏えい(各22%)の被害が他と比較して顕著となった
- 企業規模との相関性: 従業員規模に比例して被害発生率が高くなっている(50〜99人:32%、100〜299人:45%、300〜499人:57%)。一方で小規模の企業は対策が及ばず被害に気づいていない可能性も考えられる
- 製造業への被害(51%)が非製造業(42%)を上回る: 製造業ではマルウェア感染や機密情報漏えいが非製造業に比べて顕著になり知的財産が脅かされている可能性も考えられる
- サプライチェーンリスクに対する意識: 89%がサイバーリスクが自社に与える影響を懸念し、95%がセキュリティを重要視している。中小企業においてもサプライチェーンリスクに対する懸念が高まっている現状が明らかになっている
- 懸念の上位3位: 「得意先への悪影響」「社会的な信用下落」が共に48%、「得意先・取引先からの信用下落」(45%)、「取引先への悪影響」(44%)が上位に挙がった一方で「取引停止」や「売上低下」など自社の実ビジネスへの影響に関する懸念はそれぞれ約30%にとどまった
- 得意先への悪影響に対する懸念: 地域別では東海地方、また業種別では製造業が比較的高くなった
- 製造業 vs. 非製造業: 得意先や取引先への悪影響、また知財やノウハウの外部流出に関する懸念が非製造業と比較して製造業で相対的に高くなった
- 深刻なセキュリティ人材不足: 中小企業でのセキュリティ業務担当者は、IT担当が兼務(40%)、非IT人材が兼務(34%)で専任は15%にとどまった。担当者不在も9%でセキュリティの専門知識を持つ人材不足の深刻さが明らかになっている。最大の課題として47%が「人材不足」を挙げ、「限られた予算」(42%)を上回った。対策の必要性への認識はあってもセキュリティの専門性の欠如が大きな障壁になっている
- 外部委託の有無: 36%が外部委託(セキュリティ製品・サービスの運用・保守)をしていない、また63%が外部委託しているものの、うち29%は業者任せで委託内容自体を把握していない。
- セキュリティ製品やサービスを選ぶ基準: 49%が「性能の良さ」を挙げ、北陸地方を除く全地域、また規模・業種にかかわらず圧倒的に1位となっている。セキュリティ対策を重要視している企業の59%が「性能の良さ」を1位に挙げた。2位に「運用コスト」(30%)、「管理のしやすさ」(28%)が3位となった
- セキュリティ製品やサービスの購入先: 大手の販売会社(40%)、地場の販売会社(19%)、メーカー直販(15%)が上位3位。関東、近畿以外の地域は地場の販売会社経由での購入率が高く、地方ごとの市場特性を踏まえた販売戦略や活動が不可欠だといえる
- セキュリティ製品やサービスを購入する際の情報源: 「販売会社からの提案・紹介」が61%と圧倒的に高く、ついで「メーカーからの公開情報」(49%)となっている。主幹部門だけでなく営業部門への適切な量と質の情報提供が不可欠となっている。また、「コンサルタントや相談役からの提案・紹介」も24%が重要視している
Copyright © ITmedia, Inc. All Rights Reserved.