IPA 情報セキュリティ対策の実態調査
IPAは、2017年4月から中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度である『SECURITY ACTION(注釈1)』の運用を開始し、多くの中小企業が情報セキュリティ対策を実践している。
2023年10月には、SECURITY ACTION自己宣言を行った事業者(以下「宣言事業者」という。)は30万者を突破しており、制度への関心の高さがうかがえる。一方で、2018年度の調査(注釈2)では、SECURITY ACTION自己宣言を行おうとしたきっかけの多くが補助金取得であり、継続的にセキュリティ対策に取り組む意識が低い可能性が考えられる。
本調査は宣言事業者を対象としたアンケート調査を実施し、情報セキュリティ対策の実施状況や課題等を把握し、またSECURITY ACTION制度に取り組むきっかけや効果、またSECURITY ACTION制度および関連施策における課題を取りまとめた。
アンケート結果(主なポイント)
(1) SECURITY ACTION宣言のきっかけは補助金申請が大半ではあるものの、情報セキュリティ対策の意欲を後押ししている。
「補助金を申請する際の要件となっていた」が75.1%と最も高く、大半を占めている。次いで「情報セキュリティに係る自社の対応を改善したいと考えていた」が24.4%、「事業拡大や顧客開拓、取引先からの信頼を高める手段として有用と考えた」が16.6%と、SECURITY ACTION宣言が自社の情報セキュリティ対策の意欲を後押ししているようにも考えられる。
(2) SECURITY ACTION宣言事業者の約40%が意識向上や取引先からの信頼性向上等の効果を感じている。
回答者の40%は効果があったと回答している。最も多いのは「経営層の情報セキュリティ対策に関する意識の向上」(23.0%)、「従業員による情報管理や情報セキュリティに関する意識の向上」(22.8%)、「取引先からの信頼性の向上」(13.2%)と続いている。
効果の具体例としては、経営層や従業員の情報セキュリティに対する意識向上により社内でのセキュリティソフト導入のきっかけになった、SECURITY ACTIONロゴマークを名刺に記載、またSECURITY ACTION宣言を社内にお知らせしたことで、意識向上につながっているなどの効果を実感している事業者も見られた。
その他、取引先からのセキュリティ調査などでの信頼向上、新規得意先の獲得に役立ったなどの対外的な効果を挙げられている例があった。
(3) SECURITY ACTION宣言が継続的な情報セキュリティ対策への取り組みを後押ししている。
1年以内に実施した、あるいは1年以内に実施を予定している情報セキュリティ対策について質問した。結果、いずれの対策も実施しない(18.3%)、わからない(19.8%)を除くと、回答者の60%以上の事業者が、いずれかの対策を実施しているとの回答を得た。中でも「従業員に対する情報セキュリティ対策ルールの教育」が30.7%と最も高く、次いで「クラウドサービスやウェブサイトで利用している外部サービスの安全性、信頼性の確認」が24.1%となっている。
補助金申請がきっかけのSECURITY ACTION宣言事業者を含めても、情報セキュリティ対策を1年以内に実施、あるいは1年以内に実施を予定しているが60%を超えており、SECURITY ACTION自己宣言することが継続的な情報セキュリティ対策に対する意識向上につながっていると考えられる。
(4) 情報セキュリティ対策を進める上での問題点は依然として人員と知識不足
情報セキュリティ対策を進める上での問題点は、「情報セキュリティ対策を行うための人員が不足している」が38.6%と最も高く、次いで「情報セキュリティ対策の知識をもった従業員がいない」が33.3%、「従業員の情報セキュリティに対する意識が低い」が31.9%となっている。
依然として情報セキュリティに関する人材や知識不足から、対策の実施に苦労されている事業者も多く見られる。特に一つ星宣言事業者に向けては、従業員教育に活用できるツール、情報セキュリティ対策を進める際に参考となるガイドラインなどの拡充に加え、取り組み段階に応じて閲覧をナビゲートするなどの提供方法の工夫も必要なことが再確認された。
調査概要
調査手法:ウェブによるアンケート
調査調査対象:SECURITY ACTION宣言事業者
調査期間:2024年1月15日~2024年2月13日
有効回答数:5,577件
報告書のダウンロード
出典:IPA 「2023年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」 報告書について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構