IPA 「2024年度中小企業等実態調査結果」速報版
約7割の中小企業が「自社のサイバーインシデントが取引先事業に影響を与えた」と回答
独立行政法人情報処理推進機構(IPA)は、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版(本プレスリリース)を公開した。サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることが明らかになった。詳細な報告書は4月頃にIPAのウェブサイトで公開予定とのことである。
背景
近年、サプライチェーン上の弱点を狙って、攻撃対象への侵入を図るサイバー攻撃が顕在化・高度化しています。サプライチェーンを構成する中小企業等がサイバー攻撃に対する対策が不十分である場合、当該企業等の事業活動に支障が生じ得ることに加えて、重要情報の流出や、製品/サービスの供給停止など、取引先事業への影響や、当該企業を踏み台にして取引先が攻撃されるおそれ等があります。IPAでは、2016年度と2021年度に「中小企業における情報セキュリティ対策に関する実態調査」(以下、「2016年度調査」、「2021年度調査」という)を実施し、中小企業等における情報セキュリティ対策の実態を明らかにしてきました。今回の「2024年度中小企業等実態調査」は、「2021年度調査」の後続となる調査です。
概要
本調査は、全国の中小企業4191社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査しました。その結果、「2021年度調査」と比べて情報セキュリティ対策の実施状況の改善はわずかであり、更なる対策の必要性の訴求や対策の実践に向けた支援の必要性が明らかになりました。
主なポイントは以下のとおりです。
1.過去3期内で、サイバーインシデントが発生した企業における被害額の平均は73万円(うち9.4%は100万円以上)、復旧までに要した期間の平均は5.8日(うち2.1%は50日以上)
2023年度にサイバーインシデントの被害を受けたと回答した企業(n=975)のうち、サイバーインシデントによる影響として、「データの破壊」と回答した企業が35.7%、「個人情報の漏えい」と回答した企業が35.1%でした。(図1)また、過去3期に発生したサイバーインシデントで生じた被害額の平均は73万円であり、100万円以上の被害額であった企業は9.4%(最大で1億円)、過去3期内で10回以上のサイバーインシデント被害に遭った企業が1.7%(最大で40回)、復旧までに要した期間の平均は5.8日であり、50日以上を要した企業が2.1%(最大で360日)でした。サイバーインシデントと聞くと大企業の被害が目立ちますが、中小企業においても実際に甚大な被害が起きていることが伺えます。
質問:貴社でサイバーインシデントによる影響で、生じた被害について教えてください。(MA)
2.不正アクセスされた企業の約5割が脆弱性を突かれ、他社経由での侵入も約2割
2023年度にサイバーインシデントの被害を受けた企業のうち「不正アクセス被害を受けた」と回答した企業(n=419)について、サイバー攻撃の手口を聞いたところ、「脆弱性(セキュリティパッチの未適用等)を突かれた」との回答が48.0%で最も多く、次いで、「ID・パスワードをだまし取られた」との回答が36.8%でした。「取引先やグループ会社等を経由して侵入」との回答も19.8%あり、サプライチェーン上のセキュリティリスクが読み取れます。
質問:貴社が受けたサイバー攻撃の手口について教えてください。あてはまるものを下記よりすべてお選びください。(MA)
不正アクセスによる被害の内容については、「自社Webサイトのサービス停止、または機能が低下させられた」が22.9%、「業務サーバのサービス停止、または機能が低下させられた」との回答が20.3%と上位となりました。以降、「自社Webサイトの改ざん(16.5%)」、「業務サーバ内容の改ざん(15.5%)」、「第三者によるなりすまし(13.4%)」と特定のシステムに限らず被害を受けている状況です。
質問:貴社が受けたサイバー攻撃の被害について教えてください。あてはまるものを下記よりすべてお選びください。(MA)
3. サイバーインシデントにより取引先に影響があった企業は約7割
2023年度にサイバーインシデントの被害を受けたと回答した企業(n=975)のうち、全体の約3割に相当する「特に無し」を除くと、約7割が「サイバーインシデントにより取引先に影響があった」と回答しました。影響があったと答えた企業のうち、「取引先にサービスの停止や遅延による影響が出た」との回答は36.1%でした。また、「個人顧客への賠償や法人取引先への補償負担の影響が出た」との回答が32.4%、「原因調査・復旧に関わる人件費等の経費負担があった」との回答も23.2%でした。サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼし、事業の継続性を脅かす実情を浮き彫りにしています。
質問:サイバーインシデントにより貴社の取引先(サプライチェーン)に影響はありましたか。影響が及んだ場合はその内容について教えてください。(MA)
4. 約7割の企業が組織的なセキュリティ体制が整備されていない
「専門部署がある」企業は9.3%と過去の調査よりわずかに増えている一方で、「兼務担当者が任命されている」企業は減少し、「組織的対策を行っていない(各自の対応)」企業が増加しています。約7割の企業が組織的なセキュリティ体制が整備されていない状況が伺えます。
質問:貴社の情報セキュリティ対策はどのような体制で行われていますか。 (SA)
5.過去3期における情報セキュリティ対策投資を行っていない企業は約6割
「情報セキュリティ対策投資をしていない」企業の割合が62.6%でした。2016年度調査の55.2%、2021年度調査の33.1%からさらに増加しています。
質問:直近過去3期の情報セキュリティ対策投資額(IT機器や社員への教育等も含む)の概算について教えてください。(SA)
情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない」の割合が44.3%と最も多く、「費用対効果が見えない(24.2%)」、「コストがかかりすぎる(21.7%)」が続いています。中小企業として資金が限られる中で情報セキュリティ投資に踏み出せない状況が伺えます。
質問:前問で情報セキュリティ対策投資額について「投資をしていない」とお答えになった一番の理由について教えてください。(SA)
6.情報セキュリティ関連製品やサービスの導入状況は微増
情報セキュリティ対策の必要性があると感じている企業(n=2203)のうち、ウイルス対策ソフトの導入率は80.0%であり、基本的なセキュリティ対策の導入は進んでいます。また、新たなセキュリティニーズを反映し、フィルタリングや資産管理製品の導入が拡大しています。ネットワーク管理の重要性も認識されてきており、クライアントPCの設定管理製品の導入も増え、2016年度調査の4.1%から8.7%に増加しています。データ保護への関心と投資が顕著に高まっており、それに伴い様々なセキュリティ製品が導入されつつあることが伺えます。
質問:貴社では情報セキュリティ関連製品やソフトウェアを導入していますか。導入している情報セキュリティ関連製品やソフトウェアを教えてください。(MA)
7. セキュリティ対策投資を行っている企業の約5割が、取引につながった
取引先(発注元企業)から情報セキュリティ対策に関する要請を受けた経験がある企業(n=511)のうち、取引先(発注元企業)から要請された情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因だと回答した企業は、42.1%でした。
質問:貴社は取引先(発注元企業)から要請された情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因だと思いますか。(SA)
また、情報セキュリティ対策投資別に見てみると、過去に情報セキュリティ対策投資を行っている企業の49.8%が、発注元からの要請でサイバーセキュリティ対策を行ったことが取引につながったと回答しているのに対し、情報セキュリティ対策投資を行っていない企業では27.4%に留まっています。
8.サイバーセキュリティお助け隊サービスの導入企業の5割以上が、セキュリティ対策の導入が容易と回答し、また3割以上の企業が費用対効果を実感している
「サイバーセキュリティお助け隊サービス制度」を導入した企業(n=102)のうち、導入して良かった点として、「ワンパッケージでの情報セキュリティ対策」と回答した企業は56.9%、「導入が容易」と回答した企業は55.9%でした。また、「コスト削減」と回答した企業も36.3%あり、お助け隊サービスが中小企業にとって費用対効果ある対策であることが伺えます。
質問:貴社が「サイバーセキュリティお助け隊サービス」を導入して良かった点を教えてください。あてはまるものを下記よりすべてお選びください。(MA)
出典:IPA 「2024年度中小企業等実態調査結果」速報版を公開
