独立行政法人情報処理推進機構(以下、IPA)は2月14日、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開した。サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることが明らかになった。
同調査は、全国の中小企業4191社を対象にウェブアンケートを実施し、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査した。
その結果、「2021年度調査」と比べて情報セキュリティ対策の実施状況の改善はわずかであり、さらなる対策の必要性の訴求や対策の実践に向けた支援の必要性が明らかになった。
主なポイントは以下のとおりである。
① 過去3期内で、サイバーインシデントが発生した企業における被害額の平均は73万円(うち9.4%は100万円以上)、復旧までに要した期間の平均は5.8日(うち2.1%は50日以上)
2023年度にサイバーインシデントの被害を受けたと回答した企業(n=975)のうち、サイバーインシデントによる影響として、「データの破壊」と回答した企業が35.7%、「個人情報の漏えい」と回答した企業が35.1%であった(図表1)。
また、過去3期に発生したサイバーインシデントで生じた被害額の平均は73万円であり、100万円以上の被害額であった企業は9.4%(最大で1億円)、過去3期内で10回以上のサイバーインシデント被害に遭った企業が1.7%(最大で40回)、復旧までに要した期間の平均は5.8日であり、50日以上を要した企業が2.1%(最大で360日)であった。サイバーインシデントと聞くと大企業の被害が目立つが、中小企業においても実際に甚大な被害が起きていることが伺える。
② 不正アクセスされた企業の約5割が脆弱性を突かれ、他社経由での侵入も約2割
2023年度にサイバーインシデントの被害を受けた企業のうち「不正アクセス被害を受けた」と回答した企業(n=419)について、サイバー攻撃の手口を聞いたところ、「脆弱性(セキュリティパッチの未適用等)を突かれた」との回答が48.0%で最も多く、次いで、「ID・パスワードをだまし取られた」との回答が36.8%であった。「取引先やグループ会社等を経由して侵入」との回答も19.8%あり、サプライチェーン上のセキュリティリスクが読み取れる(図表2)。
不正アクセスによる被害の内容については、「自社Webサイトのサービス停止、または機能が低下させられた」が22.9%、「業務サーバのサービス停止、または機能が低下させられた」との回答が20.3%と上位となりました。以降、「自社Webサイトの改ざん(16.5%)」、「業務サーバ内容の改ざん(15.5%)」、「第三者によるなりすまし(13.4%)」と特定のシステムに限らず被害を受けている状況である(図表3)。
③ サイバーインシデントにより取引先に影響があった企業は約7割
2023年度にサイバーインシデントの被害を受けたと回答した企業(n=975)のうち、全体の約3割に相当する「特に無し」を除くと、約7割が「サイバーインシデントにより取引先に影響があった」と回答した。影響があったと答えた企業のうち、「取引先にサービスの停止や遅延による影響が出た」との回答は36.1%であった。
また「個人顧客への賠償や法人取引先への補償負担の影響が出た」との回答が32.4%、「原因調査・復旧に関わる人件費等の経費負担があった」との回答も23.2%。サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼし、事業の継続性を脅かす実情を浮き彫りにしている(図表4)。
④ 約7割の企業が組織的なセキュリティ体制が整備されていない
「専門部署がある」企業は9.3%と過去の調査よりわずかに増えている一方で、「兼務担当者が任命されている」企業は減少し、「組織的対策を行っていない(各自の対応)」企業が増加している。約7割の企業が組織的なセキュリティ体制が整備されていない状況が伺える(図表5)。
⑤ 過去3期における情報セキュリティ対策投資を行っていない企業は約6割
「情報セキュリティ対策投資をしていない」企業の割合が62.6%であった。2016年度調査の55.2%、2021年度調査の33.1%からさらに増加している(図表6)。
情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない」の割合が44.3%と最も多く、「費用対効果が見えない(24.2%)」、「コストがかかりすぎる(21.7%)」が続く。中小企業として資金が限られる中で、情報セキュリティ投資に踏み出せない状況が伺える(図表7)。
[i Magazine・IS magazine]
