1. HOME
  2. ブログ
  3. IPA 中小企業サイバーセキュリティ調査とガイドライン改定

IPA 中小企業サイバーセキュリティ調査とガイドライン改定

独立行政法人情報処理推進機構(IPA)は、「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書を公開した。続いて、実践的な対応策を示す「中小企業の情報セキュリティ対策ガイドライン」第3.1版を発行している。本稿では、調査結果のポイントと新ガイドラインの改定概要を順に整理する。

実態調査の主要ポイント

1. 基本対策の実施状況

  • OS/ソフトウェア更新
     OSや業務アプリを「常に最新にしている」企業は 73.0%
  • ウイルス対策ソフト導入
     ウイルス対策ソフトを導入し定義ファイルを更新している企業は 71.4%
  • 定着の評価
     いずれも7割超と、いわゆる“入口対策”は中小企業でも概ね浸透している。

2. 組織的対策の遅れ

  • 脅威情報の共有:37.9%
  • 社内ルール化:39.2%
  • 緊急時体制整備:39.8%
     ――いずれも4割弱にとどまり、「仕組み化」や「演習」など組織的アプローチが課題である。
「自社診断」25項目の実施状況(n=4191)

3. 対策実施度と被害なし回答の相関

「自社診断」25項目を4点法で採点すると、総合点が高い企業ほど「サイバーインシデントによる影響は特になし」と答える割合が増加する傾向が確認された。

  • 示唆:部分的な対策よりも、幅広い項目を満たす全体最適が被害低減に寄与している。
自社診断合計点別のサイバーインシデントによる影響なしと回答した割合(小規模企業者を除く)

4. 取引先からの要請と課題

  • 要請経験:中小企業全体の 1割強(n=4191) が取引先からセキュリティ対策を要請された経験あり。
  • 要請内容:最も多いのは「秘密保持のための措置」79.6%。
  • 実施上の壁:要請対応における課題は「費用負担の検討」51.3%、「契約内容の明確化」47.0%、「専門人材の確保・育成」32.9%が上位。

5. 体制整備・認証取得のビジネス効果

  • セキュリティ体制整備
     専門部署等を設置している企業の 59.8% が「対策実施が取引につながった」と回答。体制未整備の企業は24.2%にとどまる。
  • 第三者認証(ISMS等)
     ISMS取得企業では 73.9% が「取引につながった」と回答し、未取得企業(30.3%)との差は 約2.4倍
  • 示唆:組織体制と認証取得は、取引機会創出の有効な“営業資産”となり得る。

6. 調査設計の特記事項

  • 対象:全国中小企業 4,191社(経営層・情報システム担当)
  • 手法:Webアンケート+経営層21名インタビュー、文献調査13件、制度・ガイドライン調査7件
  • 比較年次:2016年度・2021年度との連続調査で推移を観測し、DX進展後初のフルスコープ調査として位置付ける。

中小企業の情報セキュリティ対策ガイドライン第3.1版の改定概要

  • 改定の背景
     2019年3月公表の第3版以降、テレワーク普及とDX推進が急速に進展。社会動向の変化を踏まえ、具体的な対応策を追加した。
  • 主な追加・変更点
    • テレワークを安全に実施するためのポイントを実践編に追記
    • セキュリティインシデント発生時の具体的対応手順を拡充
    • 付録として「中小企業のためのセキュリティインシデント対応の手引き」を新設
    • 経営者編と実践編の二部構成を維持しつつ、クラウド利用やリスク分析シートなど各種テンプレートを最新版に更新
  • 想定読者と活用方法
     個人事業主を含む中小企業全般を対象とし、経営者が認識すべき指針と現場で役立つ手順を併記。ガイドラインと「SECURITY ACTION」制度を併用することで、サプライチェーン全体のリスク低減を狙う。

中小企業の情報セキュリティ対策ガイドライン第3.1版のダウンロードはこちら

付録1:情報セキュリティ5か条(全2ページ)(PDF:352 KB)
付録2:情報セキュリティ基本方針(サンプル)(全1ページ)(Word:35 KB)
付録3:5分でできる!情報セキュリティ自社診断(全8ページ)(PDF:3.0 MB)
付録4:情報セキュリティハンドブック(ひな形)(全17ページ)(2.7 MB)
付録5:情報セキュリティ関連規程(サンプル)(全42ページ)(Word:167 KB)
付録6:中小企業のためのクラウドサービス安全利用の手引き(全8ページ)(PDF:1.6 MB)
付録7:リスク分析シート(全7シート)(Excel:98 KB)
付録8:中小企業のためのセキュリティインシデント対応の手引き(全8ページ)(PDF:1.2 MB)

調査結果とガイドラインの接点

実態調査は、基本的対策の定着組織的対策の不足が併存する現状を浮き彫りにした。また、取引先からの要請への対応が取引機会につながるという定量的示唆も得られた。これらの課題に対し、最新版ガイドラインはテレワークやインシデント対応の具体策を提示し、経営者の意思決定から現場実装までを包括的に支援する。調査と指針の両資料を併せて参照することで、中小企業は自社の成熟度に応じたギャップを早期に把握し、計画的な改善に結び付けられる。

出典:IPA 「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について
   IPA 中小企業の情報セキュリティ対策ガイドライン

関連記事

人気コーナー「サイバーセキュリティー四方山話」が電子書籍で登場!!