被害額は平均で73万円、最大ではなんと1億円 IPAが中小企業のセキュリティを調査：約7割が「取引先にも影響」と回答

IPAは、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開した。サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることが明らかになった。

[＠IT]

　情報処理推進機構（IPA）は2025年2月14日、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開した。この調査は、中小企業の経営層を対象に実施し、4191件の有効回答を得た。それによるとサプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることが明らかになった。

1億円の被害に遭った企業も

　2023年度にサイバーインシデントの被害に遭ったと回答した企業のうち、どのような影響があったのかを聞いたところ、「データの破壊」と回答した企業の割合は35.7％、「個人情報の漏えい」は35.1％だった。過去3期に発生したサイバーインシデントで生じた被害額の平均は73万円で、被害額が100万円以上になった企業の割合は9.4％（被害金額は最大で1億円）、過去3期内で10回以上のサイバーインシデント被害に遭った企業は1.7％（最大40回）だった。復旧までに要した期間は平均5.8日。50日以上が2.1％を占め、最も時間がかかったケースは360日だった。

サイバーインシデントによって生じた被害（提供：IPA）

　サイバーインシデントの被害は自社だけでなく、取引先にまで広がっているようだ。被害に遭った企業のうち、約7割が「取引先に影響があった」と回答した。どのような影響があったのかを尋ねると「サービスの停止や遅延による影響が取引先に出た」が最も多く、36.1％（複数回答、以下同）。次いで「個人顧客への賠償や法人取引先への補償負担の影響が出た」（32.4％）、「原因調査、復旧に関わる人件費などの経費負担があった」（23.2％）などが挙がった。

　サイバーインシデントの被害に遭った企業のうち、「不正アクセス被害に遭った」と回答した割合は43.0％。不正アクセスによる被害の内容については「自社Webサイトのサービス停止、または機能が低下させられた」が最も多く、22.9％（複数回答、以下同）。次いで「業務サーバのサービス停止、または機能が低下させられた」（20.3％）、「自社Webサイトの改ざん」（16.5％）、「業務サーバ内容の改ざん」（15.5％）、「第三者によるなりすまし」（13.4％）などが続いた。不正アクセス被害の攻撃手口を見ると、「脆弱（ぜいじゃく）性（セキュリティパッチの未適用など）を突かれた」（48.0％、複数回答）や、「ID・パスワードをだまし取られた」（36.8％）、「取引先やグループ会社などを経由して侵入」（19.8％）が上位を占めた。

サイバー攻撃の手口（提供：IPA）

　情報セキュリティ対策の体制については「専門部署（担当者）がある」と回答した企業の割合は9.3％で、前回の2021年度調査から0.6ポイント増えた。「兼務だが、担当者が任命されている」は同14.7ポイント減の21.0％、「組織的対策をしていない（各自の対応）」は14.0ポイント増の69.7％だった。

　情報セキュリティ対策への投資状況については、「投資していない」と回答した企業が前回調査と比べて29.5ポイント増え、62.6％だった。投資しなかった理由のトップ3は、「必要性を感じていない」（44.3％）、「費用対効果が見えない」（24.2％）、「コストがかかりすぎる」（21.7％）だった。ただ、投資には消極的なものの、基本的なセキュリティ対策の導入は進んでいるようだ。情報セキュリティ対策の必要性があると感じている企業のうち、「ウイルス対策ソフトウェア」の導入率は80.0％、「Web閲覧のフィルタリングソフトウェア」は22.4％、「ファイアウォール」は37.3％で、いずれも前回調査から増加していた。

セキュリティ関連製品の導入状況（提供：IPA）