中小企業の半数が「セキュリティは不必要」 IPA調査で分かった“マズイ現実”：セキュリティニュースアラート

IPAは「2024年度中小企業等実態調査結果」の速報版を発表した。全国4191社の中小企業を対象としており、約7割の企業が組織的なセキュリティ体制を整備していないという厳しい実態が明らかになった。

[後藤大地，有限会社オングス]

　情報処理推進機構（IPA）は2025年2月14日、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開した。同調査は、全国の中小企業4191社を対象に情報セキュリティ対策の取り組み状況を聞き、サプライチェーン全体におけるサイバーセキュリティの課題を浮き彫りにした。

約半数が「不必要」と回答　中小企業のセキュリティ対策の“マズイ現実”

　主な調査結果は以下の通りだ。

• 過去3期内でサイバーインシデントが発生した企業における被害額の平均は73万円（うち9.4％は100万円以上）、復旧までに要した期間の平均は5.8日（うち2.1％は50日以上）
• 不正アクセスされた企業の約5割が脆弱（ぜいじゃく）性を突かれ、他社経由での侵入も約2割
• サイバーインシデントにより取引先に影響があった企業は約7割
• 約7割の企業が組織的なセキュリティ体制が整備されていない
• 過去3期における情報セキュリティ対策投資を実施していない企業は約6割
• 情報セキュリティ関連製品やサービスの導入状況は微増
• セキュリティ対策投資をしている企業の約5割が取引につながった
• 「サイバーセキュリティお助け隊サービス」の導入企業の5割以上が、「セキュリティ対策の導入が容易」と回答し、また2割以上の企業が費用対効果を実感している

　調査結果によると、過去3期内にサイバーインシデントを経験した企業の約7割が「自社のサイバーインシデントが取引先事業に影響を与えた」と回答した。具体的な影響として「取引先にサービスの停止や遅延による影響が出た」（36.1％）、「個人顧客への賠償や法人取引先への補償負担の影響が出た」（32.4％）、「原因調査・復旧に関わる人件費などの経費負担があった」（23.2％）が挙がった。サプライチェーン全体でのサイバーセキュリティ対策の重要性があらためて示された。

　中小企業におけるセキュリティ対策の実施状況についても分析されており、過去3期にわたりセキュリティ対策投資を実施していない企業は約6割に達していることが分かった。その理由として「必要性を感じていない」（44.3％）、「費用対効果が見えない」（24.2％）、「コストがかかりすぎる」（21.7％）と回答。また、組織的なセキュリティ体制が整備されていない企業は約7割におよび、多くの企業が十分な対策を講じていない実態が明らかとなった。

　不正アクセスの被害を受けた企業のうち、約5割が「脆弱性（セキュリティパッチの未適用など）を突かれた」と回答し、「ID・パスワードをだまし取られた」（36.8％）も多かった。さらに「取引先やグループ会社等を経由して侵入」（19.8％）も一定数確認され、サプライチェーンリスクへの対応が求められている。一方で情報セキュリティ対策に投資している企業の約5割が取引先（発注元企業）から要請された情報セキュリティ対策に取り組んだことで取引先との取引につながったと回答し、セキュリティ対策が競争力の向上にも寄与することが示された。

　中小企業向けのサイバーセキュリティお助け隊サービスの有効性も確認されている。サービスを導入した企業のうち55.9％が「導入が容易」、36.3％が「コスト削減につながった」と回答した。中小企業がセキュリティ対策を進める上で、同サービスが費用対効果のある対策の一つとなっていることがうかがえる。

　同調査結果の公開により、中小企業において情報セキュリティの認識が向上し、情報セキュリティ対策が進むことが期待されている。また、詳細な報告書に関しては2025年4月頃にIPAの公式Webサイトで公開が予定されている。