IPA、「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書を公開

　情報処理推進機構（IPA）は、「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書を、5月27日に公開した。

　同調査では、全国の中小企業4191社を対象にWebアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調べている。

　2月14日に公表された速報版では、サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることが報告された。今回、発表された報告書では、「2024年度中小企業等実態調査」全体を取りまとめるとともに、中小企業が実際に行っている対策や効果が見られた対策のポイントが報告されている。

　「5分でできる！情報セキュリティ自社診断」の25項目について、「実施している」および「一部実施している」を合わせた割合は「パソコンやスマホなど情報機器のOSやソフトウェアは常に最新の状態にしていますか？」（73.0％）がもっとも高く、「パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしていますか？」（71.4％）がそれに続いた。一方、低かったのは「新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか？」（37.9％）、次いで「情報セキュリティ対策（上記1〜24など）をルール化し、従業員に明示していますか？」（39.2％）、「セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか？」（39.8％）となっている。

　「5分でできる！情報セキュリティ自社診断」の25項目を、「実施している…4点」「一部実施している…2点」「実施していない…0点」「わからない…マイナス1点」で点数化して、25項目の対策状況を採点したところ、合計点が高い企業ほどサイバーインシデントによる影響を「特になし」と回答した割合が高かった。

　発注元企業から情報セキュリティに関する要請を受けた経験がある企業の割合は1割強で、要請内容は「秘密保持のための措置」が79.6％に達している。

　要請された対策の実施に向けての課題としては、「対策費用（具体的な対策と費用）の用意、費用負担の検討」（51.3％）が最多となり、「情報セキュリティ対策に関する販売先（発注元企業）との契約内容の明確化」（47.0％）、「専門人材の確保・育成」（32.9％）がそれに続いた。

　取引先（発注元企業）から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、セキュリティ体制の整備がされている（専門部署（担当者）がある）企業の59.8％が、発注元からの要請でサイバーセキュリティ対策を行ったことが取引につながったと回答している。一方で、セキュリティ体制の整備がされていない（セキュリティ対策は各自の対応に任せている）企業は24.2％に留まった。

　取引先（発注元企業）から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、ISMS取得済みの企業の73.9％は、発注元からの要請でサイバーセキュリティ対策を行ったことが取引につながったと回答している。一方で、ISMS未取得の企業は30.3％に留まった。