情報処理推進機構(IPA)は5月27日、「2024年度 中小企業における情報セキュリティ対策に関する実態調査」の結果を発表した。同調査では、全国の中小企業4191社を対象に、2024年10月~2025年1月にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況を調査している。
調査によると、OSやウイルス対策ソフトの最新化を実施している企業は約7割だった。IPAが公開している「5分でできる!情報セキュリティ自社診断」(自社診断)の25項目について、「PCやスマホなど情報機器のOSやソフトウェアは常に最新の状況にしている」との回答は、「実施している」「一部実施している」を合わせて73.0%と最も高かった。次いで、「PCやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルを最新の状態にしている」が71.4%となり、基本的なセキュリティ対策はある程度定着していることが明らかになった。
一方、「新たな脅威や攻撃の手口を知り対策を社内共有する仕組みの構築」については37.9%と実施している企業は少なかった。また、「情報セキュリティ対策をルール化し、従業員に明示している」が39.2%、「セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備ができている」は39.8%と、組織的に取り組む必要のあるセキュリティ対策が進んでいない状況が浮き彫りになった。
「自社診断」25項目の実施状況(n=4191)(出典:IPA)
発注元企業から情報セキュリティに関する要請を受けた経験がある企業は12.2%だった。要請された内容は、「秘密保持」が79.6%と最多で、「情報セキュリティに関する契約内容に違反した場合の措置」(36.4%)、「サイバーインシデントが発生した場合の対応」(30.5%)と続いた。要請された対策の実施に当たっての課題として、「対策費用(具体的な対策と費用)の用意、費用負担の検討」(51.3%)、「情報セキュリティ対策に関する販売先(発注元企業)との契約内容の明確化」(47.0%)、「専門人材の確保・育成」(32.9%)が挙げられた。
発注元企業からの情報セキュリティに関する要請の内容(n=511)(出典:IPA)
対策実施に向けての課題(n=511)(出典:IPA)
取引先(発注元企業)から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、セキュリティ体制が整備されている企業の59.8%が、発注元からの要請でサイバーセキュリティ対策をしたことが取引につながったとしている。取引先から要請を受けた企業側の担当者の実感として、セキュリティ体制が整備されている企業の方が、対策の実施が取引上の信頼を得るために重要な要素だとしている。
情報セキュリティ体制整備が取引につながったか(出典:IPA)
加えて、取引先から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、ISMS取得済みの企業の73.9%が発注元からの要請でサイバーセキュリティ対策を行ったことが取引につながったとしている。取引先から要請を受けた企業側の担当者の実感として、サイバーセキュリティ対策に関する第三者認証を取得している企業の方が、対策の実施が取引上の信頼を得るための重要な要素であるとしている。
ISMS認証取得が取引につながったか(出典:IPA)
