IT Leaders トップテクノロジー一覧セキュリティ調査・レポート > IPA、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」速報版を公開
セキュリティ セキュリティ記事一覧へ

[調査・レポート]

IPA、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」速報版を公開

約7割が「自社のインシデントが取引先に影響を与えた」と回答

2025年2月14日(金)日川 佳三(IT Leaders編集部)

独立行政法人情報処理推進機構(IPA)は2025年2月14日、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開した。調査から「サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることが明らかになった」としている。詳細な報告書は同年4月頃にIPAのWebサイトで公開する予定である。

 IPAは、全国の中小企業4191社を対象に、情報セキュリティ対策の実態を調査した。取引先を含む情報セキュリティ対策の状況、対策実施における課題、被害の状況などを調査した。調査は、2024年10月25日~11月6日にかけて、Webアンケートで実施した。今回の2024年度調査は、2016年度と2021年度に次ぐ3回目の調査である。

 調査の結果、「2021年度調査」と比べ、セキュリティ対策の実施状況はわずかしか改善していなかった。さらなる対策の必要性を訴求することや、対策の実践に向けた支援の必要性が明らかになったとしている。調査結果の主なポイントは、以下の通りである。

  1. 過去3期内で、サイバーインシデントが発生した企業における被害額の平均は73万円(うち9.4%は100万円以上)、復旧までに要した期間の平均は5.8日(うち2.1%は50日以上)
  2. 不正アクセスされた企業の約5割が脆弱性を突かれ、他社経由での侵入も約2割
  3. サイバーインシデントにより取引先に影響があった企業は約7割
  4. 約7割の企業が組織的なセキュリティ体制が整備されていない
  5. 過去3期における情報セキュリティ対策投資を行っていない企業は約6割
  6. 情報セキュリティ関連製品やサービスの導入状況は微増
  7. セキュリティ対策投資を行っている企業の約5割が、取引につながった
  8. サイバーセキュリティお助け隊サービスの導入企業の5割以上が、セキュリティ対策の導入が容易と回答し、また3割以上の企業が費用対効果を実感している

被害額の平均は73万円、復旧期間の平均は5.8日

 (1)2023年度にサイバーインシデントの被害を受けたと回答した企業(n=975)のうち、サイバーインシデントによる影響として、「データの破壊」と回答した企業が35.7%、「個人情報の漏えい」と回答した企業が35.1%だった(図1)。

図1:サイバーインシデントによる被害(n=975)(出典:独立行政法人情報処理推進機構)

 過去3期に発生したサイバーインシデントで生じた被害額の平均は73万円であり、100万円以上の被害額だった企業は9.4%(最大で1億円)、過去3期内で10回以上のサイバーインシデント被害に遭った企業が1.7%(最大で40回)、復旧までに要した期間の平均は5.8日であり、50日以上を要した企業が2.1%(最大で360日)だった。「サイバーインシデントと聞くと大企業の被害が目立つが、中小企業においても甚大な被害が起こっている」(IPA)。

サイバー攻撃の手口は「脆弱性を突かれた」が48.0%で最多

 (2)2023年度にサイバーインシデントの被害を受けた企業のうち「不正アクセス被害を受けた」と回答した企業(n=419)について、サイバー攻撃の手口を聞いたところ、「脆弱性(セキュリティパッチの未適用等)を突かれた」との回答が48.0%で最も多く、次いで、「ID・パスワードをだまし取られた」との回答が36.8%だった。「取引先やグループ会社等を経由して侵入」との回答も19.8%あった(図2)。「サプライチェーン上のセキュリティリスクが読み取れる」(IPA)。

図2:不正アクセスの手口(n=419)(出典:独立行政法人情報処理推進機構)

 不正アクセスによる被害の内容については、「自社Webサイトのサービス停止、または機能が低下させられた」が22.9%、「業務サーバのサービス停止、または機能が低下させられた」との回答が20.3%と上位となった。以降、「自社Webサイトの改ざん(16.5%)」、「業務サーバ内容の改ざん(15.5%)」、「第三者によるなりすまし(13.4%)」だった(図3)。「特定のシステムに限らず、被害を受けている」(IPA)。

図3:不正アクセスによる被害の内容(n=419)(出典:独立行政法人情報処理推進機構)

インシデントにより取引先に影響があった企業は約7割

 (3)2023年度にサイバーインシデントの被害を受けたと回答した企業(n=975)のうち、全体の約3割に相当する「特に無し」を除くと、約7割が「サイバーインシデントにより取引先に影響があった」と回答した。影響があったと答えた企業のうち、「取引先にサービスの停止や遅延による影響が出た」との回答は36.1%だった。また、「個人顧客への賠償や法人取引先への補償負担の影響が出た」との回答が32.4%、「原因調査・復旧に関わる人件費等の経費負担があった」との回答も23.2%だった(図4)。「サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼし、事業の継続性を脅かしている(IPA)。

図4:サイバーインシデントによる取引先への影響(n=975)(出典:独立行政法人情報処理推進機構)

約7割の企業は組織的なセキュリティ体制が整備されていない

 (4)「専門部署がある」企業は9.3%と、過去の調査よりわずかに増えている一方、「兼務担当者が任命されている」企業は減少し、「組織的対策を行っていない(各自の対応)」企業が増加している(図5)。「約7割の企業では、組織的なセキュリティ体制が整備されていない」(IPA)。

図5:情報セキュリティ体制(出典:独立行政法人情報処理推進機構)
拡大画像表示
この記事の続きをお読みいただくには、
会員登録(無料)が必要です
【次ページ】6割の企業は情報セキュリティ対策に投資をしていない
  • 1
  • 2
関連キーワード

IPA

関連記事

おすすめのホワイトペーパー

more「製品/サービス資料ダウンロードサイト「Impress Business Library」へ」

トピックス

[Sponsored]

IPA、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」速報版を公開独立行政法人情報処理推進機構(IPA)は2025年2月14日、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開した。調査から「サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることが明らかになった」としている。詳細な報告書は同年4月頃にIPAのWebサイトで公開する予定である。

PAGE TOP