ニュース
IPA、中小企業におけるセキュリティ対策の実態調査報告書を公開、5年間で対策の改善はわずか
2022年4月1日 08:00
独立行政法人情報処理推進機構(IPA)は31日、「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開した。2016年度調査との比較では、中小企業における対策の実施状況の改善はわずかで、さらなる対策の必要性の訴求や、対策の実践に向けた支援の必要性が明らかになったとしている。
調査は、全国の中小企業4074社を対象にWebアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策などについて質問している。調査期間は2021年10月~2021年12月。
調査によると、過去3期における「IT投資」の状況については「投資を行っていない」と回答した企業が30%となり、過去3期の「情報セキュリティ対策投資」についても「投資を行っていない」と回答した企業が33.1%となった。「IT投資」については、2016年の前回調査(47.7%)との比較では17.7ポイントの改善と考えることができ、ITの導入・活用が中小企業においても一定程度、進んでいる様子がうかがえるとしている。
情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない」の割合が最も多く40.5%で、「費用対効果が見えない(24.9%)」「コストがかかりすぎる(22.0%)」が続く。また、中小企業(101人以上)では「その他」の割合が高いが、これについては「親会社が投資しているため自社負担がない」といった趣旨の回答が多くあったという。
被害防止のための組織面・運用面の対策の実施状況については、前回調査の結果と比較すると、大半の項目で対策実施の割合が増加した。特に、「情報セキュリティ対策の定期的な見直し」については17.4%と、前回調査(5.6%)から10%以上増加している。
一方、情報セキュリティ関連製品やサービスの導入状況については、「VPN」の導入が17.1%と前回調査(11.9%)から5.2%増加しているものの、その他の情報セキュリティ関連製品やサービスについては前回調査と大きな差がない状況となっている。
2020年度に情報セキュリティ被害にあったか否かを聞いた設問では、84.3%が「被害にあっていない」と回答。何らかの被害にあった企業は5.7%で、最も多い回答は「コンピューターウイルスに感染(2.7%)」となった。
また、コンピューターウイルスの被害を認識している企業のうち、想定される侵入経路は「電子メール」の割合が最も高く62.2%で、「インターネット接続(ホームページ閲覧など)(45.9%)」「自らダウンロードしたファイル(23.4%)」が続いている。
ただし、この状況について、令和2年度の「中小企業サイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け隊事業)成果報告書(全体版)」では、中小企業1117社に設置した機器が外部からの不審なアクセスを18万1536件も検知したことが明らかになっていると指摘。IPAでは、情報セキュリティ対策の実施状況を踏まえると、回答企業においてサイバー攻撃を認識できていない可能性も否定できないとしている。
取引先からの情報セキュリティに関する条項・取引上の要請の有無については、63.2%の企業が「義務・要請はない」と回答した。「義務・要請がある」企業は26.1%で、販売先(発注元企業)からの契約時の要請としては「秘密保持」の割合が最も高く93.8%で、「契約終了後の情報資産の扱い(返却、消去、廃棄等)(36.3%)」「情報セキュリティに関する契約内容に違反した場合の措置(32.4%)」が続いた。
IPAでは、今回の調査結果を、中小企業の情報セキュリティ対策ガイドライン、SECURITY ACTION制度、サイバーセキュリティお助け隊サービスなどの制度に生かし、今後の中小企業における情報セキュリティ対策の普及活動へつなげていくとしている。また、調査では報告書の詳細版および概要版のほか、個別のインタビュー調査に基づく61件の取組事例を事例集としてとりまとめ、IPAのWebサイトで後日公開する予定としている。