【経営】
[独立行政法人情報処理推進機構]より「お知らせ」です。
本調査では、全国の中小企業4191社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査しました。
今回公表する資料では、「2024年度中小企業等実態調査」全体の報告書を取りまとめるとともに、中小企業が実際に行っている対策や効果が見られた対策のポイントを報告します。
・2024年度中小企業における情報セキュリティ対策に関する実態調査報告書(全体版)
https://www.ipa.go.jp/security/reports/sme/nl10bi000000fbvc-att/sme-chousa-report2024r1.pdf
1.OSやウイルス対策ソフトの最新化を実施している企業は約7割
「5分でできる!情報セキュリティ自社診断(注釈)」(以下「自社診断」)の25項目について、「実施している」及び「一部実施している」を合わせた割合は「パソコンやスマホなど情報機器のOSやソフトウェアは常に最新の状態にしていますか?」(73.0%)が最も高く、次いで「パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしていますか?」(71.4%)でした。基本的なセキュリティ対策はある程度定着していることがうかがえます。一方、低かったのは「新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?」(37.9%)、次いで「情報セキュリティ対策(上記1〜24など)をルール化し、従業員に明示していますか?」(39.2%)、「セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?」(39.8%)でした。組織的に取り組む必要のあるセキュリティ対策が進んでいないことがうかがえます。(図1)
・(注釈)5分でできる!情報セキュリティ自社診断
https://www.ipa.go.jp/security/guide/sme/5minutes.html
図1.「自社診断」25項目の実施状況(n=4191)
2.情報セキュリティ対策実施によりサイバーインシデント被害が低減した
「自社診断」の25項目を「実施している…4点」「一部実施している…2点」「実施していない…0点」「わからない…−1点」で点数化し、25項目の対策状況を採点したところ、合計点が高い企業ほどサイバーインシデントによる影響を「特になし」と回答した割合が高い傾向が見て取れます。(図2)情報セキュリティ対策の実施により、サイバーインシデント被害(影響)の低減が期待されます。
図2.自社診断合計点別のサイバーインシデントによる影響なしと回答した割合(小規模企業者を除く)
3.1割強の企業が取引先から情報セキュリティ対策の要請を受けている
発注元企業から情報セキュリティに関する要請を受けた経験がある企業の割合は1割強でした。(図3)要請された内容は、8割が「秘密保持のための措置」(79.6%)でした。(図4)要請された対策の実施に向けての課題は、「対策費用(具体的な対策と費用)の用意、費用負担の検討」(51.3%)が最も多く、次いで「情報セキュリティ対策に関する販売先(発注元企業)との契約内容の明確化」(47.0%)、「専門人材の確保・育成」(32.9%)でした。コストや人材不足が課題となっていることがうかがえます。(図5)
質問:貴社は販売先(発注元企業)から貴社への情報セキュリティに関する要請を受けた経験はありますか。(SA)
図3.情報セキュリティに関する要請を受けた経験あるか(n=4191)
質問:販売先(発注元企業)から貴社への情報セキュリティに関する要請の具体的な内容について教えてください。(MA)
図4.発注元企業からの情報セキュリティに関する要請の内容(n=511)
質問:貴社で販売先(発注元企業)から情報セキュリティ対策の要請を受けた場合に、対策の実施に向けての課題となることについて教えてください。(MA)
図5.対策実施に向けての課題(n=511)
4.セキュリティ体制を整備している企業の約6割が、取引につながった
取引先(発注元企業)から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、セキュリティ体制の整備がされている(専門部署(担当者)がある)企業の59.8%が、発注元からの要請でサイバーセキュリティ対策を行ったことが取引につながったと回答しているのに対し、セキュリティ体制の整備がされていない(セキュリティ対策は各自の対応に任せている)企業は24.2%に留まっています。取引先から要請を受けた企業側の担当者の実感として、セキュリティ体制が整備されている企業の方が、対策の実施が取引上の信頼を得るための重要な要素であることを示しています。(図6)
質問:貴社は販売先(発注元企業)から要請された情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因だと思いますか。(SA)
図6.情報セキュリティ体制整備が取引につながったか
5.第三者認証を取得している企業の約7割が、取引につながった
取引先(発注元企業)から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、ISMS取得済みの企業の73.9%が、発注元からの要請でサイバーセキュリティ対策を行ったことが取引につながったと回答しているのに対し、ISMS未取得の企業は30.3%に留まっています。取引先から要請を受けた企業側の担当者の実感として、サイバーセキュリティ対策に関する第三者認証を取得している企業の方が、対策の実施が取引上の信頼を得るための重要な要素であることを示しています。(図7)
質問:貴社は販売先(発注元企業)から要請された情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因だと思いますか。(SA)
図7.ISMS認証取得が取引につながったか
詳しくは下記参照先をご覧ください。