「投資は不必要」 数値で見る中小企業セキュリティ対策の“悲しい実態”：半径300メートルのIT

「相次ぐサイバー攻撃の報道を受けて中小企業のセキュリティ対策意欲は高まっている」、そう思っていましたが、どうやら現実は厳しいようです。今回はIPAの実態調査から中小企業のセキュリティ対策のリアルを解き明かします。

[宮田健，ITmedia]

　高校生のころ、数学で落ちこぼれていたことがありました。理解が進まず焦っていたため、プライドを捨てて基礎的な予備校講座を受けることにしました。まさにそれが、筆者に足りなかった「現状認識」と「基礎力向上」をもたらしてくれました。この経験は今もかなり大きなものだったと思っています。

　そういう意味ではセキュリティもきっと同様です。まず必要なのは、私たちがどのレベルにいるのかというのを知ること。その実態を理解するための資料が、情報処理推進機構（以下、IPA）から公開されました。中小企業のセキュリティ現在地を図る上で非常に有用な資料です。

セキュリティ投資は「いらない」　中小企業の“悲しい実態”

　「2024年度中小企業等実態調査結果」の速報版が2025年2月に公開されました。この調査結果は、何となく想像していた中小企業のセキュリティ実態を、数値の形で目の当たりにできるものとなっています。

2024年度中小企業等実態調査結果の速報版（出典：IPAのWebサイト）

　忙しければ、速報のさらに「概要」を見るだけでもいいかと思います。少しだけピックアップすると、以下のような想像を超えた（想像通りの？）“悲しい実態”が明らかにされています。

• サイバーインシデントが発生した企業における被害額の平均は73万円
• 復旧までに要した期間の平均は5.8日
• 不正アクセスされた企業の約5割が脆弱（ぜいじゃく）性を突かれている
• 過去3期における情報セキュリティ対策投資をしていない企業は約6割

　このレポートは速報版で、詳細は2025年4月に公開される予定です。その際には再度ピックアップしたいと思っていますが、速報版でも気になる部分が幾つかあります。特に気になったのは、情報セキュリティ対策投資額に関する質問で「投資をしていない」と答えた一番の理由が「必要性を感じていない」（44.3％）だったという事実です。

セキュリティ対策への投資をしていない理由の1位は「必要性を感じていない」（出典：IPAのWebサイト）

　仕事柄、いろいろなセキュリティベンダーとお話をするのですが、ここ数年はトップの方の感覚としても、サイバー攻撃被害報道の増加から中小規模の企業の経営者も意識が高くなった、と聞くことが多かったのです。しかし、それとともに「中小企業は意識が二分化している」とも聞いていました。セキュリティベンダーとの付き合いがある企業は、意識が高い方なのでしょう。そうではない企業は、やはりまだまだ多いことを痛感しました。IPAはそういうところにもリーチした資料が出てくるのでさすがです。

　そのような経営者にも、セキュリティ投資が今後の取引につながるということを理論立てて説明し、「なるほど」と感じてもらえることが今後の情報セキュリティ啓発の課題になると思います。同調査では「約7割の企業が組織的なセキュリティ体制が整備されていない」という結果が出ている他、実は2016年、2021年調査に比べても、対策について「組織的には実施していない」と答える割合が高くなっていることも気になります。

　これは従業員自身のセキュリティ意識が高まり“何もしていないことに気がついた”ということなのかもしれません。経営者はこの実態を正しく捉え、体制を整える準備だけでもしておく必要があるでしょう。

“悲しい実態”に対してIPAが出した答え

　面白いことに、今回の速報資料はこのような設問で締められています。それは「サイバーセキュリティお助け隊サービスの導入企業の5割以上が『セキュリティ対策の導入が容易』と回答し、また3割以上の企業が費用対効果を実感している」というものです。ご存じの方も多いかと思いますが、「サイバーセキュリティお助け隊サービス」とはIPAがとりまとめたソリューション群で、一定の基準を満たしたサービスをIPAが認定し、販売しています。

サイバーセキュリティお助け隊サービス（出典：IPAのWebサイト）

　「なんだ、結局ソリューションの売り込みじゃないのか」と思うかもしれません（筆者も少し思いました）。しかし、この「サイバーセキュリティお助け隊サービス」という制度は本当によくできていて、個人的にももう少し認知が上がり、活用されてほしいと感じています。

　このサービスはIPAそのものが提供しているものではなく、あくまで中小企業に必要最小限のセキュリティサービスを定義し、かつ中小企業でも手が出る価格帯となるように基準を設け、それに合致したサービスを認証し、一覧化しています。

　そのため、サービスを見ていると著名なベンダーというよりも、中小企業にとって身近な商工会議所が取りまとめているものなども含まれており、かつ想像以上に安価なコストで手に入れられるものが多いのが特徴です。以前関連する方にお話を聞いたときには、「社長が1回飲みに行くのを我慢すればいいくらいの値段」と表現していました。確かに、ネットワーク監視サービスであれば月額1万円を超えないことが、サービス提供の基準となっています。

サイバーセキュリティお助け隊サービス基準 2.0版「中小企業等でも導入・維持できる価格等」では明確な基準が設けられている（出典：IPAのWebサイト）

中小企業が求めているのはバズワードではない

　サイバー攻撃はますます高度になり、EDR（Endpoint Detection and Response）の“次”を求める動きもあります。バズワードは多数登場するでしょうが、中小企業においては将来像を見せられても困惑するだけです。その結果として、現状維持になっていることが、同報告書の示す現実であると考えられます。

　今必要なのは、それを踏まえて現実的に可能な方法を探すこと。そして、基礎力を高め無料でもできることを選ぶことではないかと思っています。その意味では、まずさまざまな資料をチェックしつつ、「サイバーセキュリティお助け隊サービス」のような、中小企業のためにまとめられたものを選択するのがよいのではないでしょうか。

　最後に参考になる資料へのリンクもまとめます。サイバー攻撃に負けない組織は、規模を問わず作れるはずです。チェックしてみてください。

％リンク

• SECURITY ACTION セキュリティ対策自己宣言
• 中小企業の情報セキュリティ対策ガイドライン
• 「中小企業向けサイバーセキュリティ対策の極意」ポータルサイト
• インターネットの安全・安心ハンドブック

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。