#752 中小企業の6割「情報セキュリティ対策投資をしていない」 ～ 2024年度中小企業実態調査 速報

今回は、独立行政法人情報処理推進機構、通称IPAが発表した「2024年度、中小企業における情報セキュリティ対策の実態調査報告書」の速報版について取り上げます。この報告書は、中小企業が直面するセキュリティーの現状や課題を明らかにし、今後の対策に役立つ情報を提供しています。リスナーの皆さんは、この放送を通じて、サイバーインシデントの現状やその影響、そして中小企業がどのようにセキュリティー対策を進めていくべきかについての理解を深めることができるでしょう。

今回の報告書は、全国の中小企業4,191社を対象に行われたウェブアンケートの結果をまとめたものです。調査では、情報セキュリティー対策の取り組み状況や被害の実態、対策実施における課題などが明らかにされています。2023年度にサイバーインシデントの被害を受けた企業は975社で、そのうち「データの破壊」と「個人情報の漏えい」が主な影響として挙げられています。被害額の平均は73万円で、復旧にかかる期間の平均は5.8日でした。特に不正アクセスの手口としては、脆弱性を突かれたケースが最も多く、次いでID・パスワードの詐取が続いています。また、情報セキュリティー対策への投資を行っていない企業が62.6％に上ることも判明しました。これらの結果から、中小企業におけるセキュリティー対策の重要性とその課題が浮き彫りになっています。

脆弱性とは、システムやソフトウェアに存在するセキュリティー上の欠陥や弱点のことを指します。これらの脆弱性は、悪意のある攻撃者によって悪用される可能性があり、システムへの不正アクセスやデータの漏えい、破壊などの被害を引き起こすことがあります。具体的には、ソフトウェアのバグや設定ミス、セキュリティーパッチの未適用などが挙げられます。脆弱性を放置すると、攻撃者にとって格好の標的となるため、定期的なシステムの更新やセキュリティーパッチの適用が重要です。

中小企業がセキュリティー対策を進めるためには、まず基本的なセキュリティー対策を徹底することが重要です。具体的には、セキュリティーパッチの適用やウイルス対策ソフトの導入、ファイアウォールの設定などが挙げられます。また、従業員に対するセキュリティー教育も欠かせません。特に、フィッシングメールや不正アクセスの手口についての知識を持つことは、被害を未然に防ぐために重要です。さらに、定期的なセキュリティー診断を行い、脆弱性を早期に発見し対策を講じることも有効です。

多くの中小企業がセキュリティー対策の必要性を感じていない理由として、まず自社が攻撃の対象になるとは考えていないことが挙げられます。特に、過去に被害を受けた経験がない企業は、セキュリティーの重要性を実感しにくい傾向があります。また、セキュリティー対策の効果が目に見えにくいため、投資に対する費用対効果を感じにくいという側面もあります。しかし、サイバー攻撃は年々巧妙化しており、どの企業も潜在的なターゲットとなり得るため、セキュリティー対策は不可欠です。

サイバーインシデントが発生した場合、まずは被害の拡大を防ぐために迅速な対応が求められます。具体的には、被害の範囲を特定し、影響を受けたシステムを隔離することが重要です。その後、専門家による詳細な調査を行い、インシデントの原因を特定します。原因が判明したら、再発防止策を講じるとともに、関係者への情報提供を行います。また、法的な義務に基づき、必要に応じて関係当局への報告も行うことが求められます。

今回の調査結果から得られる教訓として、まず中小企業におけるセキュリティー対策の重要性が改めて浮き彫りになりました。特に、脆弱性を突かれたケースが多いことから、システムの更新やセキュリティーパッチの適用がいかに重要かがわかります。また、セキュリティー対策への投資が不十分な企業が多いことから、経営層がセキュリティーの重要性を理解し、積極的に投資を行うことが求められます。さらに、従業員への教育を通じて、セキュリティー意識を高めることも重要です。

将来的に同様の問題が再発しないためには、まず継続的なセキュリティー対策の強化が必要です。具体的には、定期的なセキュリティー診断を行い、脆弱性を早期に発見し対策を講じることが重要です。また、セキュリティーインシデントの発生に備えたインシデントレスポンス計画を策定し、定期的に訓練を行うことも有効です。さらに、業界全体での情報共有を通じて、最新の脅威情報を把握し、迅速に対応することが求められます。