独立行政法人情報処理推進機構(IPA)は2025年2月14日、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を発表した。
調査結果から、中小企業の情報セキュリティ対策は依然として不十分であり、サプライチェーン全体に深刻な影響を及ぼしている実態が明らかになっている。
同調査は、全国の中小企業4,191社を対象に2023年10月25日から11月6日までの期間実施されたWebアンケートの結果を基に作成されており、2016年度・2021年度に続く3回目の調査となる。
サイバーインシデントの被害状況
レポートによると、2023年度にサイバーインシデントの被害を受けた企業は975社に上り、うち「データの破壊」が35.7%、「個人情報の流出」が35.1%と報告されている。
また、過去3年間に発生したサイバーインシデントによる被害額の平均は73万円で、100万円以上の被害を受けた企業も9.4%だった。
復旧までの平均期間は5.8日で、50日以上を要した企業も2.1%存在したとのこと。
攻撃手法と影響
不正アクセスを受けた419社に対する調査では、サイバー攻撃の手口として「脆弱性を突かれた」が48.0%で最多となり、「ID・パスワードをだまし取られた」が36.8%、「取引先やグループ会社を経由して侵入」が19.8%と続いた。
被害の影響としては、「自社Webサイトの停止・機能低下」(22.9%)や「業務サーバの停止・機能低下」(20.3%)が主に挙げられており、企業の業務に直接的な支障をきたしている実態が明らかになっている。
セキュリティ投資とサプライチェーン全体への影響
過去3年間に情報セキュリティ対策への投資を行わなかった企業は62.6%にのぼり、2016年度の55.2%、2021年度の33.1%から増加。
投資を行わなかった理由として、「必要性を感じていない」(44.3%)、「費用対効果が見えない」(24.2%)、「コストがかかりすぎる」(21.7%)といった意見が挙がったという。
注目すべき点として、サイバーインシデントの影響が取引先にも及んでいることが挙げられており、サイバーインシデントを経験した企業のうち約7割が「取引先に影響があった」と回答。
そのうち、「取引先にサービスの停止や遅延が発生した」が36.1%、「補償負担が発生した」が32.4%という結果となっている。
IPAは、サプライチェーン全体のセキュリティ対策が不十分であることが事業継続性のリスクを高めていると指摘。
企業単体の対策だけでなく、取引先を含めた包括的なセキュリティ強化の必要性を訴えている。
今後の課題と展望
今回の調査は2016年、2021年に続く3回目の実施となるが、セキュリティ対策の改善はわずかにとどまっている。
IPAは、対策実施に向けたさらなる支援の必要性を強調しており、特に中小企業向けの支援策拡充が求められるとしている。
なお、当該レポートの詳細内容は2025年4月頃にIPAのWebサイトで公開予定とされている。
【参考記事】
「2024年度中小企業等実態調査結果」速報版を公開
https://www.ipa.go.jp/