中小企業のセキュリティ対策に後退傾向、「投資していない」が目立つ–IPA調査

今回は「中小企業のセキュリティ対策に後退傾向、「投資していない」が目立つ–IPA調査」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　情報処理推進機構（IPA）は、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を発表した。それによると、2021年度の前回調査に比べて、セキュリティ対策投資をしていないとした企業が大幅に増加し、「必要性を感じない」を理由に挙げる企業も半数近くに上っている。

　調査は中小企業の経営層を対象として、2024年10月25日～11月6日にウェブアンケートを行い、4191件の回答を得た。今回は2016年度と2021年度に続くものとなる。

　まず、2023年度にインシデント被害を受けた企業は975件だった。インシデントによる影響（複数回答）では、「データの破壊」が35.7％で最も多く、以下は「個人情報の漏えい」（35.1％）、「ウイルスメールなどの発信」（21.5％）、「業務情報（営業秘密を除く）の漏えい」（21.3％）、「営業秘密の漏えい」（15.1％）が続いた。

　また、過去3期にインシデントで生じた被害額は平均73万円で、100万円以上は9.4％、最大は1億円だった。過去3期内で10回以上のインシデント被害に遭った企業は1.7％、最大では40回、復旧に要した期間は平均5.8日で、50日以上を要した企業は2.1％、最大で360日だった。

　さらに、2023年度にインシデント被害を受けた企業の中で不正アクセスを受けた企業（419件）に攻撃の手口を尋ねたところ、最多は「脆弱（ぜいじゃく）性（セキュリティパッチの未適用など）を突かれた」の48.0％だった。以下は、「ID・パスワードをだまし取られた」（36.8％）、「取引先やグループ会社などを経由して侵入」（19.8％）、「SQLインジェクション」（15.3％）などで、「分からない」も25.4％に上った。

　不正アクセスによる被害の内容（複数回答）は、「自社ウェブサイトのサービス停止、または機能が低下させられた」（22.9％）や「業務サーバーのサービス停止、または機能が低下させられた」（20.3％）、「自社ウェブサイトの改ざん」（16.5％）、「業務サーバー内容の改ざん」（15.5％）、「第三者によるなりすまし」（13.4％）、「個人情報が盗まれた」（7.2％）、「取引先や個人に被害が拡大した」（6.9％）など多岐にわたっていた。