IPA最新調査から見えた!中小企業のセキュリティ現状と課題
独立行政法人情報処理推進機構(IPA)は、2025年5月27日に「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書」を公開しました。
近年のサイバー攻撃は、サプライチェーン上の弱点を突いて侵入を試みる傾向が顕著化・高度化しています。サプライチェーンの一員である中小企業等のセキュリティ対策が不十分な場合、自社の事業活動に支障をきたすだけでなく、取引先への重要情報流出や、当該企業を起点とした取引先への攻撃といったリスクが生じます。このような背景を踏まえ、IPAは中小企業等におけるサイバーセキュリティ対策の現状と課題を明らかにし、規模や業種に応じた効果的な対策を分析・整理することを目的に本調査研究を実施しています。
目次
調査の概要
本調査研究では、主に以下の内容が実施されました。
- 文献調査: サイバーセキュリティ対策や実態に関連する文献、およびサプライチェーンセキュリティに関する制度やガイドラインが調査されました。
- アンケート調査: 全国の一般企業に勤務・経営する方(中小企業庁の定義に基づく中小企業および小規模企業者)を対象にウェブアンケートが実施され、4,191件の有効回答が得られました。調査項目には、情報セキュリティに関する意識や実態、サイバーインシデント被害の状況、取引先を含む情報セキュリティ対策の状況などが含まれています。
- インタビュー調査: アンケート回答企業の中から選定された中小企業の経営層21人に対し、より詳細な実態把握のためのインタビューが行われました。
中小企業のサイバーセキュリティ対策の現状と課題
報告書からは、中小企業のサイバーセキュリティ対策に関する様々な実態が明らかになっています。
- 基本的な対策の定着と組織的対策の遅れ: OSやウイルス対策ソフトの最新化といった基本的な対策は約7割の企業が実施していますが、新たな脅威や攻撃の手口に関する社内共有の仕組み、情報セキュリティ対策のルール化・明示、セキュリティ事故発生時の体制整備といった組織的な対策は実施が4割未満に留まっています。
- 対策実施による被害低減の可能性: IPAが提供する「5分でできる!情報セキュリティ自社診断」の項目への対策実施レベルが高い企業ほど、サイバーインシデントによる影響が「特になし」と回答した割合が高い傾向が見られました。これは、対策の実施が被害の低減につながる可能性を示唆しています。
- 取引先からのセキュリティ要請と課題: 1割強の企業が取引先から情報セキュリティ対策に関する要請を受けた経験があり、その内容は「秘密保持のための措置」が約8割を占めました。これらの要請への対応における課題として、「対策費用の用意、費用負担の検討」が最も多く(51.3%)、次いで「契約内容の明確化」(47.0%)、「専門人材の確保・育成」(32.9%)が挙げられており、コストや人材不足が大きな課題となっていることが改めて浮き彫りになりました。
- 体制整備や第三者認証取得の効果: セキュリティ体制を整備している企業では、体制を整備していない企業と比較して、取引先からのセキュリティ対策要請への対応が取引につながったと実感している割合が高いことが示されています。同様に、情報セキュリティマネジメントシステム(ISMS)認証を取得している企業は、未取得の企業と比較して、要請への対応が取引上の信頼獲得につながったと実感している割合が大幅に高い結果となりました。これらのことから、組織的なセキュリティ体制の整備や第三者認証の取得がビジネス上のメリットにつながることが示唆されています。
今後の対策推進に向けて
今回の調査結果は、中小企業が直面するサイバーセキュリティの課題を具体的に示しています。特にサプライチェーン全体のセキュリティ強化には、中小企業の一層の対策が必要不可欠であり、そのためにはコストや人材不足といった課題への対応が求められます。
IPAは、中小企業の情報セキュリティ対策を支援するため、「SECURITY ACTION」制度や「サイバーセキュリティお助け隊サービス制度」といった施策を提供しています。また、IPAウェブサイトでは、本報告書の全文や概要資料などが公開されています。 中小企業の経営層やセキュリティ担当者の方は、ぜひこれらの施策や資料を活用して、自社の状況に合わせた対策を検討してみてください。
<参考リンク>
・IPA:「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について・2024年度中小企業における情報セキュリティ対策に関する実態調査報告書(全体版)(PDF:5.5 MB)
・調査報告書概要説明資料(PDF:1.8 MB)