目次

  1. 2024年度中小企業等実態調査の概要
  2. 低コストなサイバーセキュリティ対策の事例

 サプライチェーンを構成する中小企業を狙ったサイバー攻撃が増えるなか、IPAの公式サイトによると、全国の中小企業4191社を対象にウェブアンケートを実施し、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査し、報告書にまとめました。

 アンケートのポイントは以下の通りです。

  • OSやウイルス対策ソフトの最新化を実施している企業は約7割
    情報セキュリティ対策実施によりサイバーインシデント被害が低減した
  • 1割強の企業が取引先から情報セキュリティ対策の要請を受けている
  • セキュリティ体制を整備している企業の約6割が、取引につながった
  • 第三者認証を取得している企業の約7割が、取引につながった

 報告書によると、2023年度にサイバーインシデントの被害を経験した企業は全体の約2割で、その内訳はコンピュータウイルス感染(14.8%)、不正アクセス(10.0%)、ランサムウェア攻撃(8.3%)が多い傾向にあります。

 被害を受けた企業の多くで、取引先にサービス遅延や停止、補償負担などの影響を及ぼしており、サプライチェーン全体への悪影響が顕在化しています。

 サイバー攻撃による被害総額は、大企業・中小企業ともに50万円未満が最も多いものの、中小企業でも1000万円~1億円の被害を受けた事例があり、企業の経営に多大な影響を及ぼす可能性があります。

 また、他社との取引で、機密性の高い情報(個人情報、設計図面など)の漏洩を最も大きなリスクと考えている企業が3割を超えます。しかし、「情報セキュリティ対策を行わない企業とは取引できない」と要請された場合でも、取引先からのセキュリティ要請に応じない傾向も見られます。

 報告書では、情報セキュリティ対策の実施によって、サイバーインシデント被害の低減や、取引におけるメリット、社内意識の向上など、具体的な効果が見られたことが示されています。

 中小企業の規模に応じた具体的な対策事例が示されており、低コストで実施可能なものも存在します。

 アンケート回答によると、費用をかけずに実施したセキュリティ対策としては、社員教育に関する回答が多く、他には以下のような対策を挙げています。

  • 無料のウイルス対策ソフトの導入
  • 夜間における不正アクセスを防止を目的とした業務終了時のオフィスのネットワーク遮断
  • クリアデスク(離席時にデスク上に書類や記憶媒体を放置しない)
  • 取引先のシステムエンジニアとの情報交換による互換性のあるセキュリティ対策
  • 商工会議所などの無料セキュリティセミナーを活用した社員トレーニング
  • 不要なソフトの見直し・削除

 ただし、無料のウイルス対策ソフトは費用対効果が悪いと感じている回答もあったといいます。このほか、事業規模の小さい企業では、中小企業に対するサイバー攻撃への対処として不可欠な以下のサービスをワンパッケージにまとめたIPAのサイバーセキュリティお助け隊サービス制度を利用している企業もあったといいます。

 次に費用を伴う対策で効果が見られたものとしては、事業継続性を重視してCADデータなどの重要情報をクラウドにバックアップしているという回答がありました。また、事業規模が比較的大きい企業では、複数の機能を有する点で費用対効果が高いUTM(統合脅威管理)を導入しているところもあるといいます。

 また、情報セキュリティマネジメントシステム(ISMS)やプライバシーマーク(Pマーク)を取得している企業もあります。大手の塾での情報漏洩事案を受けてISMSを取得した企業は、情報管理の必要性を認識し、安心感を得ているといいます。

 情報通信業の企業では、将来的な取得費用増加を考慮し、先んじてPマークとISMSを取得し、定期的な見直しを行うことでセキュリティ対策の更新・改善を図っています。

 電子部品開発設計の製造業では、納入先からの要請でISMSを取得したことが取引における大きなアドバンテージとなり、顧客からの評価も向上したという回答もありました。

 このほか、サイバー保険も、内部からの情報漏洩防止策と合わせて、リスク対策の一環として活用されているようです。