独立行政法人情報処理推進機構(IPA)が実施した「2024 年度 中小企業における情報セキュリティ対策に関する実態調査」の結果から、ITリテラシーの確保が難しい状況にある中小企業の皆様に向けて、サイバーセキュリティ対策の必要性とそのビジネス上のメリットを解説します。
今回の調査結果は、サイバー攻撃が身近な脅威となっており、もはや「我が社には関係ない」とは言えない現状を明確に示しています。セキュリティ対策を単なるコストではなく、企業の信頼と継続性を守るための「未来への投資」として捉え直すことが急務です。
1.中小企業を取り巻くサイバー攻撃リスクの現状
投資への意識の低さ
直近過去 3 期で情報セキュリティ対策に「投資をしていない」と回答した企業は全体の62.6%に上ります。この投資をしない一番の理由として最も多かったのは「必要性を感じていない」で 44.3%でした。
直近過去3期で
投資をしていない企業
62.6%
投資をしない理由
必要性を感じていない
44.3%
リスクに対する認識不足
必要性を感じていない理由として「重要情報を保有していないため」(36.5%)や「他社とのネットワーク接続がないため」(31.6%)を挙げる割合が高い傾向が見られます。
また、中小企業と比較して小規模事業者の 「重要情報を保有していないため」との回答割合多く、事業における情報セキュリティ上のリスクに対する認識が不足している可能性が示唆されます。
| 理由 | 割合 | |||
|---|---|---|---|---|
| 全体 | 小規模企業者 | 中小企業 100名以下 | 中小企業 100名以上 | |
| 重要情報を保有していないため | 36.5% | 38.4% | 23.1% | 12.5% |
| 他社とのネットワーク接続がないため | 31.6% | 32.6% | 23.1% | 37.5% |
| 事業の継続に大きな影響がないため | 25.9% | 26.0% | 25.4% | 25.0% |
しかし実際には、調査対象企業の約80%が電子メールを導入し、33%がWebサイトを運用しています。顧客情報、取引先情報、見積書、請求書など、これらは攻撃者にとって価値のある情報であり、自社がサイバー攻撃に遭う可能性を過小評価している懸念があります。
現実に約2割の企業では被害に遭っている
「被害にあっていない」と回答した企業は全体の約 76.7%でしたが、残りの約2割の企業では被害に遭っていると回答してます。
| 2023年度に発生したサイバー攻撃 | 発生率 |
|---|---|
| コンピュータウイルス感染 | 36.5% |
| 不正アクセス | 10.0% |
| ランサムウェア感染 | 8.3% |
| 生じた被害 | 発生率 |
|---|---|
| データの破壊 | 35.7% |
| 個人情報の漏えい | 35.1% |
| ウィルスメール等の発信 | 21.5% |
生じた被害の中には、取引先にまで感染が拡大する(3.2%)回答もありました。これは企業同士の取引関係を通じて広がる“サプライチェーン型攻撃”のリスクを示しています。
平均約73万円、最大は1億の被害額と1年の復旧機関
サイバー攻撃によって生じた被害の平均額は、過去 3 期で約 73 万円に上り、中には最大 1 億円の被害を被った企業もあります。復旧までに要した期間の平均は 5.8 日であり、最大は約1年であり、甚大な被害が発生している実態がうかがえます。
| 項目 | 平均値 | 最大値 |
|---|---|---|
| 被害総額(円) | 約 73 万 | 1億円 |
| 発生回数(回) | 1.1 | 40 |
| 復旧期間(日) | 5.8 | 360 |
2.取引先への影響
中小企業のセキュリティ対策の不備は、自社内にとどまらず、取引先にまで深刻な影響を及ぼします。
注目すべき点は、サイバー攻撃を経験した企業の約70%が取引先にも影響を与えていることです。
| 生じた被害 | 発生率 |
|---|---|
| サービスの障害・遅延・停止による逸失利益 | 36.1% |
| 個人顧客への賠償や法人取引への補償負担 | 32.4% |
| 原因調査・復旧に関わる人件費等の経費負担 | 23.2% |
| 裁判、調停等に関わる人件費等の経費負担 | 12.0% |
| 個人顧客や法人取引先に対する信頼失墜 | 10.9% |
| その他 | 0.1% |
| 特になし | 29.7% |
3.取引にも直結するセキュリティ対策
発注元の要請が取引に与える影響
発注元企業から情報セキュリティの要請を受けた経験がある企業は全体の1割強でした。そのうち、要請に基づいて対策を行ったことが「取引につながった大きな要因」と考える企業は4割強にのぼります。
| 情報セキュリティに関する 要請を受けた経験 | 割合 |
|---|---|
| はい | 12.2% |
| いいえ | 79.9% |
| わからない | 7.9% |
| 要請された情報セキュリティ対策が 取引につながった大きな要因か | 割合 |
|---|---|
| はい | 42.1% |
| いいえ | 36.8% |
| わからない | 21.1% |
仕入先への要請がもたらす信頼と取引拡大
自社から仕入先に対してセキュリティ対策を要請した企業は全体の1割未満でしたが、要請に応じた仕入先は8割強にのぼり、さらに対応が「取引に繋がった大きな要因」と考える企業は7割に上ります。
| 仕入先(委託・協力企業)に対して セキュリティ対策の要請 | 割合 |
|---|---|
| はい | 8.7% |
| いいえ | 81.1% |
| わからない | 10.2% |
| 要請した情報セキュリティ対策が 取引につながった大きな要因か | 割合 |
|---|---|
| はい | 69.1% |
| いいえ | 20.4% |
| わからない | 10.5% |
対策を実施した企業の実感の声
- 「取引先との信頼関係が高まり、より多くの取引を行うことができている」
- 「大手企業からの信頼が得られ受注数が増えた」
- 「顧客情報の漏洩を防げるという安心感を得られた」
これらの結果や声から、セキュリティ対策は単なる防御ではなく、ビジネス機会を生む重要な要素になりつつあります。
4.経営者意識と体制の現状
経営層自身の意識と知識不足が課題
情報セキュリティ対策をさらに向上させるために必要とされることとして、「経営者のサイバーセキュリティリスク意識の向上」が 32.6% で最も高い結果となりました。回答者の 84.6% が経営層(経営者・役員)であることを考えると、経営層自身が自らの意識を高める必要性を認識していることがうかがえます。
また、活用したいサービスとして「経営層向けの手引書」が 28.9%、「経営層への教育」が 22.1% と続いており、経営層がセキュリティ対策に必要な知識や判断材料の不足を不安視している実態が浮かび上がっています。
| 情報セキュリティ対策を 向上させるために必要と思うこと | 割合 |
|---|---|
| 経営者のサイバーセキュリティ リスク意識向上 | 32.6% |
| 従業員の情報セキュリティ意識向上 | 26.8% |
| 企業内の体制整理 | 17.7% |
| 活用したい情報セキュリティ対策 に関するサービス | 割合 |
|---|---|
| 営層向けの手引書 | 28.9% |
| 経営層向けの教育 | 22.1% |
| 業界ごとの情報セキュリティ ガイドライン | 17.2% |
意識と実態のギャップ:整備が進まない対応計画
一方で、経営層の役割として重要な「ルール化」や「対応計画の整備」については大きな遅れが見られます。サイバーインシデント発生時の対応方法が「決まっていない」との回答は 37.3% にのぼり、緊急時の体制整備や対応手順の整備を「実施していない」と回答した企業も 47.3% に達しています。
つまり、経営層の意識は高まりつつあるものの、実際のルール策定や体制構築といった行動には結びついておらず、多くの企業において「経営層の関与がまだ十分ではない」というギャップが明確になっています。
| サイバー攻撃を発見した場合 の対応方法 | 割合 |
|---|---|
| 対応方法は決まっていない | 37.0% |
| 情報の隔離 | 29.3% |
| ネットワーク診断 | 24.4% |
| 緊急時の体制整備や 対応手順の整備 | 割合 |
|---|---|
| 実施している | 18.5% |
| 一部実施している | 21.4% |
| 実施していない | 47.3% |
| わからない | 12.9% |
5.SECURITY ACTION宣言の実態と課題
経営層自身の意識と知識不足が課題
SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度ですが、その認知度は約10%にとどまり、実際に宣言している企業の割合はわずか約6%という結果になりました。
SECURITY ACTION
認知度
10%
一つ星・二つ星
宣言企業
44.3%
企業規模が大きくなるほど認知度が上がる傾向が見られ、これは従業員数の増加による認知機会の増加や、サイバーセキュリティ担当部署等の設置が理由として考えられます。
宣言のきっかけと維持に必要な要素
| 一つ星宣言のきっかけ | 割合 |
|---|---|
| 補助金や助成金の申請要件 | 62.1% |
| 顧客や取引先からの要求 | 44.7% |
| 経営層の意識向上 | 38.5% |
| サイバー攻撃被害に遭った | 16.1% |
| 業界標準や法規制の変化 | 16.1% |
| 二つ星宣言のきっかけ | 割合 |
|---|---|
| 顧客や取引先からの要求 | 55.4% |
| 経営層の意識向上 | 48.2% |
| 補助金や助成金の申請要件 | 41.0% |
| サイバー攻撃被害に遭った | 21.7% |
| 業界標準や法規制の変化 | 15.7% |
一つ星は基本的な対策項目が中心のため、補助金や助成金の申請をきっかけとした宣言が多い傾向にあります。一方、二つ星は求められる対策項目数も増えることから、サイバーセキュリティ対策の実施による取引先へのアピールや自社への安心感を期待していることが考えられます。
| 宣言を維持するために必要な要素 | 割合 | ||
|---|---|---|---|
| 合計 | 一つ星宣言 | 二つ星宣言 | |
| 予算の確保 | 56.1% | 60.9% | 47.0% |
| 経営層の意識向上 | 55.7% | 55.3% | 56.6% |
| 経営層の関与 | 40.2% | 32.9% | 54.2% |
| 担当部署の設置・体制の整備 | 26.6% | 26.1% | 27.7% |
| その他 | 0.4% | 0.6% | 0.0% |
宣言を行わない理由
SECURITY ACTIONを実施しない理由として最も大きな割合を示したのが「知らなかった」で38.6%となり、認知度の低さが大きな課題であることが明らかになりました。
| SECURITY ACTIONを 宣言しない理由 | 割合 | |||
|---|---|---|---|---|
| 全体 | 小規模企業者 | 中小企業 100名以下 | 中小企業 100名以上 | |
| 知らなかった | 38.6% | 41.0% | 32.1% | 37.7% |
| 必要性が感じられない | 28.5% | 32.6% | 20.1% | 16.4% |
| 費用対効果が不明確 | 15.9% | 13.8% | 20.5% | 21.3% |
| 情報セキュリティ対策を実施できる人材がいない | 14.1% | 10.2% | 22.4% | 23.0% |
| リソース不足 | 14.0% | 11.1% | 19.6% | 22.5% |
| 優先度が低い | 12.5% | 10.2% | 17.8% | 16.8% |
| 手続きが煩雑 | 7.9% | 6.3% | 11.3% | 11.1% |
| 内容が理解できない | 5.6% | 5.0% | 6.7% | 7.8% |
| その他 | 0.5% | 0.6% | 0.2% | 0.4% |
その他の理由として、小規模企業者においてはセキュリティ対策の必要性、それ以外の中小企業では、費用対効果の不明瞭、セキュリティ人材の不足、リソース不足等が挙げられました。
注目すべき事実
SECURITY ACTION宣言をしていない企業のうち、約28%は実際には一つ星の宣言に値するセキュリティ対策を実施していると考えられます。また、約2割は二つ星に求められる対策項目を実施している企業でした。つまり、実質的には対策を行っているにもかかわらず、制度を知らないために宣言していない企業が相当数存在することが明らかになりました。
6.サイバーセキュリティお助け隊サービスの実態
経営層自身の意識と知識不足が課題
サイバーセキュリティお助け隊サービスは、中小企業向けにワンパッケージでセキュリティ対策を提供するサービスですが、その認知度は約7%にとどまり、実際に導入している企業の割合はわずか約2%という結果になりました。
お助け隊サービス
認知度
7%
サービス
導入企業
2%
企業規模別にみると、中小企業(101名以上)では導入割合が8.8%である一方、小規模企業者では1%未満であり、小規模企業者にはほとんど普及していない実態が明らかになりました。
導入のきっかけは補助金が最多、経営層の意識向上も
全体的に補助金・助成金の申請要件が約64%と最も高く、企業業規模にかかわらずサービス導入のきっかけとしています。小規模企業者以外ではでは、顧客や取引先からの要求が50%を超えており、申請要件と同程度のサービス導入のきっかけともなっています。
その一方で、従業員101名以上の企業では、経営層の意識向上が53.8%となっており、経営者の意向が導入の要因ともなっています。
| 導入のきっかけ | 割合 | |||
|---|---|---|---|---|
| 全体 | 小規模企業者 | 中小企業 100名以下 | 中小企業 100名以上 | |
| 補助金や助成金の申請要件 | 63.7% | 75.0% | 57.1% | 69.2% |
| 顧客や取引先からの要求 | 51.0% | 35.0% | 57.1% | 50.0% |
| 経営層の意識向上 | 42.2% | 40.0% | 37.5% | 53.8% |
| サイバー攻撃被害に遭った | 30.4% | 15.0% | 32.1% | 38.5% |
| 業界標準や法規制の変化 | 17.6% | 10.0% | 16.1% | 26.9% |
| その他 | 0.0% | 0.0% | 0.0% | 0.0% |
導入していない理由
必要性が感じられないと回答した割合が最も高く、企業規模別でみると、特に小規模企業者の約50%が回答しています。小規模企業者以外では、費用対効果が不明確や優先度が低いといった回答が見られたました。
また、業種別ではどの業種においても、必要性が感じられない、費用対効果の不明瞭が挙げられています。
| サービスを導入しない理由 | 割合 | |||
|---|---|---|---|---|
| 全体 | 小規模企業者 | 中小企業 100名以下 | 中小企業 100名以上 | |
| 必要性が感じられない | 45.2% | 49.1% | 35.1% | 32.7% |
| 費用対効果が不明確 | 27.7% | 24.6% | 36.2% | 33.6% |
| 優先度が低い | 19.8% | 18.4% | 21.8% | 32.7% |
| 自社の規模に見合ったサービスではない | 16.3% | 15.9% | 17.2% | 18.7% |
| リソース不足 | 12.1% | 9.8% | 17.7% | 20.6% |
| 手続きが煩雑 | 9.9% | 8.3% | 14.4% | 12.1% |
| サービスレベルが低い | 3.6% | 3.1% | 4.9% | 5.6% |
| IPAホームページの案内が分かりづらい | 3.5% | 3.2% | 3.9% | 6.5% |
| その他 | 3.5% | 3.8% | 2.2% | 4.7% |
導入した企業が実感するメリット
一方で、サービスを導入している企業からは高い評価を得ています。
| 導入してよかった点 | 割合 |
|---|---|
| ワンパッケージでの情報セキュリティ対策 | 56.9% |
| 導入が容易 | 55.9% |
| 緊急時の対応 | 41.2% |
| コストの削減 | 36.3% |
| 顧客や取引先からの信頼向上 | 17.6% |
ワンパッケージでの対策と導入の容易さがそれぞれ約5割と最も多く挙げられており、コストの削減が約3割となっています。これは、サービスの導入により中小企業の人的リソース不足の課題解決やコスト削減による費用対効果の改善につながっていることを示しています。
普及促進への示唆
導入していない理由として「費用対効果が不明確」や「費用対効果が不明確」が挙げられている一方、実際に導入した企業は「導入が容易」「コスト削減」などのメリットを実感しています。これは、サービス内容および導入によって得られる効果が中小企業に十分に理解されていないことを示していることがわかります。
7.今こそ始める、中小企業のためのセキュリティ対策
トラストブレーンでは、中小企業の皆様が抱えるセキュリティ対策の課題を理解し、実態に即したサポートサービスを提供しています。
SECURITY ACTION宣言を無償サポートから
情報セキュリティ対策 スタータサービス
「何から始めればいいかわからない」という企業様向けに、SECURITY ACTIONの宣言をサポート。普及賛同企業として、一つ星登録までは無償で対応しています。現場の実情に合わせた「ストレスレスな」情報セキュリティ規程作成で、無理なく継続できる体制を構築します。
- 情報セキュリティ5か条のチェックと対策提言
- 「5分でできる!自社診断」実施支援(二つ星)
- 現場の実情に合わせた各種規程の作成支援(二つ星)
情報セキュリティ対策 スタータサービスの詳細はこちら
ワンパッケージで安心のセキュリティ対策
情報セキュリティ対策 スタータサービス
調査で明らかになった「導入が容易」「コスト削減」というメリットを実現する、IPA認定の中小企業向けお助け隊サービス。
- 信頼の国産UTMと24時間遠監視
- 万が一の時の駆け付け対応付き
(ウイルス駆除等の初動対処支援) - 手動での面倒な更新作業は不要
サイバーセキュリティお助け隊サービスの詳細はこちら
ワンパッケージで安心のセキュリティ対策
プラットフォーム(ASM)診断サービス
「外部からの見え方」をAIと専門家が毎月チェック。設定ミスによるポート開放や、ダークウェブへのパスワード流出を検知します。
- 毎月1回のASM診断
- 診断レポート(対応要否を明記)
- ダークウェブ流出監視
- 環境考慮診断
プラットフォーム(ASM)診断サービスの詳細はこちら
