独立行政法人情報処理推進機構(IPA)は2025年5月27日、「中小企業の情報セキュリティ対策に関する実態調査2024」の結果を公表しました。この調査からは、多くの中小企業で基本的な対策が進展している一方で、巧妙化・悪質化するサイバー攻撃への備えや、取引先との連携といった面で依然として大きな課題を抱えている実態が浮き彫りになりました。。
目次
基本的な対策は7割が実施、一定の浸透示す
調査結果でまず注目されるのは、基本的なセキュリティ対策の普及率です。PCやサーバーのOS、そしてウイルス対策ソフトを常に最新の状態に保っていると回答した企業は、全体の約7割に達しました。
これは、過去の調査と比較しても高い水準であり、セキュリティ対策の第一歩である「脆弱性の管理」に対する意識が、多くの中小企業である程度浸透してきたことを示しています。
IPAは、これらの基本的な対策を実施している企業では、実際にサイバーインシデントによる被害が低減する傾向も見られるとしており、対策の有効性を裏付けています。
高度な対策・組織的取り組みには遅れ
一方で、基本的な対策の普及とは対照的に、より高度で組織的な対策には課題が多く残されています。
例えば、近年被害が深刻化しているランサムウェア(身代金要求型ウイルス)への専門的な対策、特定の企業を狙い撃ちする標的型攻撃への備え、あるいはインシデント発生を想定した対応計画(IRP)の策定や訓練といった項目では、実施率が伸び悩んでいます。
また、従業員に対する定期的なセキュリティ教育や、セキュリティに関する規程の整備・運用といった組織的な取り組みも、依然として十分とは言えない状況です。これは、多くの中小企業が日々の業務に追われ、目に見えにくいセキュリティへの投資や体制構築にまで手が回っていない現実を反映していると考えられます。
サプライチェーンにおけるセキュリティ意識
サプライチェーン全体のセキュリティを考える上で重要な、取引先との連携状況についても調査が行われました。その結果、発注元企業などから情報セキュリティに関する何らかの要請を受けた経験がある企業は、全体の12.2%に留まりました。
要請内容としては「秘密保持契約(NDA)の締結」が最も多く、より具体的なセキュリティ対策基準の遵守や監査といったレベルでの要請はまだ少ないようです。
しかし、注目すべきは、セキュリティ体制を整備している企業(例:SECURITY ACTIONの宣言、ISMSなどの第三者認証取得)ほど、取引先からの要請をきっかけとした対策が、結果的に新たな取引の獲得や関係強化に繋がったと回答する割合が高い点です。
具体的には、セキュリティ体制を整備している企業の約6割、第三者認証を取得している企業の約7割が、取引に繋がったと回答しています。
これは、情報セキュリティ対策が単なる防御策ではなく、企業の信頼性を高め、ビジネスチャンスを創出する「攻めの投資」にもなり得ることを示唆しています。
主なサイバー攻撃の復旧費用の目安
IPAの今回の報告書にも参照されている特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)が2023年に公表した「インシデント損害額調査レポート(第2版)」では、実際のインシデント対応に伴う損害や費用が詳細に分析されており、中小企業でも数千万円から場合によっては数億円規模の損失が生じる可能性があることが示されています。
| 対応内容 | 想定費用(中小企業) |
|---|---|
| 原因調査費用 | 300万〜400万円 |
| セキュリティコンサルティング | 10万〜100万円 |
| 法律相談 | 30万〜100万円 |
| DM送付による通知対応(1万人) | 約130万円 |
| 新聞広告出稿 | 約50万円 |
| コールセンター設置(3ヶ月) | 700万〜1,000万円 |
| 見舞金・見舞品(1万人分) | 約650万円 |
| ネット炎上対策 | 300万〜900万円 |
| ダークウェブ調査 | 数百万円以上 |
| クレジット情報モニタリング(1ヶ月) | 100万〜500万円 |
| システム復旧費用 | 数百万円〜数千万円 |
| 再発防止費用 | 同上(数百万円〜数千万円) |
| 超過人件費 | 規模により大幅変動 |
これらを合算すると、インシデント対応に伴う直接費用だけでも1,000万円を超えるケースが一般的であり、状況によっては数千万円、さらに再発や訴訟等を含めると1億円近い損害が発生することもあります。
間接的な損害も経営に深刻な影響
また、ECサイトでのクレジットカード情報漏えいなどでは、カード会社からの求償額が数千万円以上に及ぶ事例も確認されています。売上の一時的な消失、顧客からの信用喪失、風評被害といった「無形損害」は金額換算が困難であるものの、事業の存続に関わる打撃となることも少なくありません。
中小企業の売上規模との比較
経済産業省「令和5年 中小企業実態基本調査」によると、中小企業1社あたりの平均売上高は約2.1億円。インシデント1件で発生する損害額が数千万円から数億円となれば、経営に与えるインパクトは計り知れません。
中小企業が抱えるセキュリティ対策の壁
調査結果から見える課題の背景には、中小企業特有の構造的な問題が存在します。
- 人材不足: 最も大きな壁の一つが、セキュリティ専門人材の不足です。大企業に比べて採用力が弱い中小企業では、最新の脅威動向を把握し、適切な対策を計画・実行できる人材を確保・育成することが極めて困難です。情報システム担当者が他の業務と兼務しているケースも多く、セキュリティ対策に十分な時間を割けないのが実情です。
- コスト負担: セキュリティ対策には、ツールの導入、専門家のコンサルティング、従業員教育など、相応のコストがかかります。体力的に余裕のない中小企業にとって、直接的な利益に結びつきにくいセキュリティへの投資は、後回しにされがちな傾向があります。
- 経営層の意識: 経営層がセキュリティリスクの深刻さを十分に認識していない、あるいは「うちは狙われないだろう」といった楽観的な見方をしている場合、全社的な対策は進みません。セキュリティ対策を経営課題として捉え、リーダーシップを発揮することが不可欠です。
今後の展望:サプライチェーン全体での強靭化へ
今回の調査結果は、中小企業が個々に努力するだけでは限界があり、サプライチェーン全体でセキュリティレベルを引き上げていく必要があることを改めて示しました。発注元となる大企業は、取引先の中小企業に対して、一方的な要求だけでなく、具体的な支援(情報提供、ガイドライン策定、費用の一部負担など)を行うことが期待されます。
また、国やIPAなどの支援機関は、中小企業が利用しやすいツールやサービスの提供、専門家による相談窓口の設置、補助金制度の拡充などを通じて、中小企業の取り組みを後押ししていく必要があります。
中小企業自身も、自社のリスクを正しく評価し、身の丈に合った対策から着実に始めることが重要です。IPAが提供する「SECURITY ACTION」のような自己宣言制度を活用したり、地域の商工会議所やITコーディネーターなどの支援を活用したりすることも有効な手段となるでしょう。
参照
https://www.ipa.go.jp/security/reports/sme/sme-survey2024.html
関連記事
サポート詐欺とは 手口や電話してしまった場合の対応を解説
ネットワーク貫通型攻撃とは
美容業務用品を販売するミツイコーポレーション、1月のランサムウェアと不正アクセスで個人情報漏洩の可能性
株式会社ベル・データ、2024年9月のランサムウェアで約4万7千件個人情報漏洩の可能性
サイバー攻撃の事例【2023年】
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
サイバー攻撃の事例【2022年】
証券口座の乗っ取りが急増-2カ月半で1454件、被害総額は約950億円超に
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
