公開日
被害額1億円の例も。中小企業の約6割が未だセキュリティ未投資
多くの経営者や担当者が「うちは大丈夫だろう」と考えがちな、中小企業の情報セキュリティ。しかし、その「大丈夫」は、本当に確かなものでしょうか。サイバー攻撃の手口は日々巧妙化し、企業規模に関わらず、すべての組織が標的となりうる時代です。対策の遅れは、単なる情報漏洩に留まらず、事業停止や信頼失墜といった致命的な事態を招きかねません。
本記事では、独立行政法人情報処理推進機構(IPA)が2025年5月に公開した「2024 年度 中小企業における情報セキュリティ対策に関する実態調査- 報告書 -」に基づき、中小企業が直面しているセキュリティ対策のリアルな実態と、そこに潜む深刻なリスクを明らかにします。
1. なぜ対策は進まない?約6割が投資せず、4割以上が「必要性を感じない」現実
中小企業のセキュリティ対策が進まない最大の壁は、費用の問題だけではないようです。調査からは、より根深い「意識」の問題が浮かび上がってきました。
投資の実態:約6割がセキュリティ対策に投資せず
まず衝撃的なのは、セキュリティ対策への投資状況です。調査対象となった中小企業のうち、実に 62.6% が、過去3年間で情報セキュリティ対策に「投資していない」と回答しています。これは、企業の半数以上が、サイバー攻撃に対する備えをほとんど行っていないという厳しい現実を示しています。
直近過去 3 期の情報セキュリティ対策投資額(IT 機器や社員への教育等も含む)(n=4191)
投資しない理由:「コスト」よりも根深い「意識」の問題
では、なぜこれほど多くの企業が投資に踏み切れないのでしょうか。その理由を探ると、「コストがかかりすぎる」「費用対効果が見えない」といった経済的な理由もさることながら、最も多くの企業が挙げたのは 「必要性を感じていない」(44.3%) という回答でした。
情報セキュリティ対策投資額について「投資をしていない」と回答した一番の理由(n=2623)
この結果は、多くの中小企業がサイバー攻撃のリスクを「対岸の火事」と捉え、自社が標的になる可能性を過小評価していることを示唆しています。しかし、次の章で見るように、その認識は極めて危険なものであることがわかります。
2. 「うちは大丈夫」は危険信号。平均被害額73万円、最大1億円のサイバー攻撃実態
「必要性を感じない」という意識とは裏腹に、サイバー攻撃の被害は、中小企業にとって決して他人事ではありません。
被害経験:約2割の中小企業がサイバー攻撃を経験
2023年度において、何らかのサイバーインシデント(被害やその可能性)を経験した企業は 約23% にのぼります。実に5社に1社以上が、すでに攻撃の脅威に晒されているのです。
2023 年度にサイバーインシデントの発生もしくは発生があった可能性が高い経験(n=4191)
被害内容:「データの破壊」「情報漏洩」が深刻
被害の内容は多岐にわたりますが、特に深刻なのは 「データの破壊」(35.7%) と 「個人情報の漏洩」(35.1%) です。これらは事業の根幹を揺るがし、顧客や取引先からの信頼を根底から覆しかねない重大な被害です。
サイバーインシデントによる影響で生じた被害(n=975)
被害額:平均73万円、最大1億円のケースも
金銭的な被害も甚大です。過去3年間に被害に遭った企業における被害総額は、平均で約73万円、最大では1億円に達するケースも報告されています。中小企業にとって、この金額は経営に深刻な打撃を与えるものであることは言うまでもありません。
被害額・発生回数・復旧期間の平均と最大
| 項目 | 平均値 | 最大値 |
|---|---|---|
| 被害総額 | 約73万円 | 1億円 |
| 発生回数 | 1.1回 | 40回 |
| 復旧期間 | 5.8日 | 360日 |
3. 自社だけでは守れない。サプライチェーン全体に広がるセキュリティリスク
現代のビジネスは、多くの企業が連携し合うサプライチェーンによって成り立っています。しかし、この繋がりが、新たなセキュリティリスクを生み出す温床にもなっています。
取引先からのセキュリティ要請と自社の対応
調査によると、販売先(発注元企業)から情報セキュリティに関する要請を受けた経験がある中小企業は全体の約12%に留まっています。しかし、ひとたび要請があれば、その対応は避けられません。要請内容は秘密保持契約の締結から、監査の受け入れ、特定のセキュリティ機器の導入まで様々です。これらの要請に対応できなければ、取引の継続が危ぶまれるケースも少なくありません。
自社が加害者になる可能性:サプライチェーン攻撃の踏み台に
さらに深刻なのは、自社のセキュリティ対策の不備が、取引先にまで被害を及ぼしてしまう「サプライチェーン攻撃」のリスクです。攻撃者は、セキュリティが比較的強固な大企業を直接狙うのではなく、その取引先であるセキュリティ対策の甘い中小企業を踏み台にして侵入を試みます。自社が意図せず加害者となり、サプライチェーン全体に甚大な被害を広げてしまう可能性があるのです。
4. 認知度1割未満。知らないと損するIPAの無料・低コスト支援策
このような深刻なリスクに直面する中小企業を支援するため、IPAは様々な施策を展開しています。しかし、その存在は驚くほど知られていません。
自己宣言制度「SECURITY ACTION」の認知・宣言状況
「 SECURITY ACTION 」は、中小企業が自ら情報セキュリティ対策に取り組むことを宣言する制度です。宣言することで、対策への意識を高め、取引先へのアピールにも繋がります。しかし、この制度を 「知っている」と回答した企業は、わずか10.4% でした。
専門家による支援「サイバーセキュリティお助け隊サービス」の認知・導入状況
「 サイバーセキュリティお助け隊サービス 」は、相談窓口や緊急時の対応支援などをワンパッケージで安価に提供するサービスです。専門知識や人材が不足しがちな中小企業にとって、心強い味方となるはずですが、こちらの認知度も 7.0% と極めて低い水準にあります。
結論:他人事ではないセキュリティリスク。今すぐできる対策の第一歩
今回のIPAの調査結果は、多くの中小企業が情報セキュリティのリスクを「他人事」と捉え、具体的な対策を講じられていないという厳しい現実を浮き彫りにしました。しかし、サイバー攻撃はいつ、どの企業を襲うか分かりません。「うちは大丈夫」という根拠のない自信は、もはや通用しないのです。
事業を継続し、顧客や取引先からの信頼を守るために、まずは自社のセキュリティ状況を客観的に把握することから始めましょう。IPAが提供する「 5分でできる!情報セキュリティ自社診断 」などを活用し、自社の強みと弱みを洗い出すことが第一歩です。その上で、「SECURITY ACTION」の宣言や「サイバーセキュリティお助け隊サービス」の利用を検討するなど、具体的な行動に移すことが重要です。コストや人材不足を理由に対策を先送りするのではなく、利用できる支援策を最大限に活用し、着実な一歩を踏み出しましょう。
Webサービスや社内のセキュリティにお困りですか? 弊社のサービス は、開発チームが抱える課題を解決し、生産性と幸福度を向上させるための様々なソリューションを提供しています。ぜひお気軽にご相談ください!
参考資料: