情報処理推進機構(IPA)が実施した「2024年度中小企業等実態調査」によると、2023年度にサイバーインシデントの被害を受けたと回答した975社のうち、復旧までに要した期間の平均は5.8日であり、50日以上を要した企業が2.1%(最大で360日)でした。IPAは「サイバーインシデントと聞くと大企業の被害が目立ちますが、中小企業においても実際に甚大な被害が起きていることが伺えます」と指摘しています。
IPAは2024年度中小企業等実態調査として、全国の中小企業4191社を対象にウェブアンケートを実施し、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを尋ねました。2023年度にサイバーインシデントの被害を受けたと回答した企業は975社に上りました。
アンケート結果によると、サイバーインシデントによる影響として、「データの破壊」と回答した企業が35.7%、「個人情報の漏えい」と回答した企業が35.1%でした。
過去3期内でサイバーインシデントが発生した企業の被害額の平均は73万円、100万円以上の被害額であった企業は9.4%(最大で1億円)に上りました。
復旧までに要した期間の平均は5.8日であり、50日以上を要した企業が2.1%(最大で360日)でした。
具体的なサイバー攻撃の手口としては、脆弱性(セキュリティパッチの未適用等)を突かれたり、ID・パスワードをだまし取られたり、取引先やグループ会社等を経由して侵入されたりした被害があったといいます。
975社のうち、サイバーインシデントにより取引先に影響があったと回答した企業は約70%に上りました。
影響があったと答えた企業のうち、「取引先にサービスの停止や遅延による影響が出た」との回答は36.1%でした。
また、「個人顧客への賠償や法人取引先への補償負担の影響が出た」との回答が32.4%、「原因調査・復旧に関わる人件費等の経費負担があった」との回答も23.2%でした。
直近過去3期の情報セキュリティ対策投資額(IT機器や社員への教育等も含む)の概算について尋ねたところ、「投資していない」が62.6%に上りました。
その理由としては、「必要性を感じていない」「費用対効果が見えない」「コストがかかりすぎる」などが挙げられています。
一方で、発注元から情報セキュリティ対策に関する要請を受けた経験がある511社のうち、発注元から要請された情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因だと回答した企業は、42.1%に上るなど取引継続にはサイバー対策がすでに重要になっている様子がうかがえます。
ITサポートエンジニアの古賀竜一さんは記事「情報セキュリティ3要素とは?追加の4要素も含めてわかりやすく解説」のなかで、情報セキュリティ対策の具体例として、次のことを挙げています。
さらに「情報セキュリティ対策の効果を最大化するには、明確なガイドラインを示す必要があります。場当たり的な対策や対応では、情報セキュリティの有効な効果は期待できません」とも指摘しています。
おすすめのニュース、取材余話、イベントの優先案内など「ツギノジダイ」を一層お楽しみいただける情報を定期的に配信しています。メルマガを購読したい方は、会員登録をお願いいたします。
朝日インタラクティブが運営する「ツギノジダイ」は、中小企業の経営者や後継者、後を継ごうか迷っている人たちに寄り添うメディアです。さまざまな事業承継の選択肢や必要な基礎知識を紹介します。
さらに会社を継いだ経営者のインタビューや売り上げアップ、経営改革に役立つ事例など、次の時代を勝ち抜くヒントをお届けします。企業が今ある理由は、顧客に選ばれて続けてきたからです。刻々と変化する経営環境に柔軟に対応し、それぞれの強みを生かせば、さらに成長できます。
ツギノジダイは後継者不足という社会課題の解決に向けて、みなさまと一緒に考えていきます。
