ニュース

中小企業の44%は2023年にサイバー攻撃や内部犯行による被害を経験、パロアルトネットワークス調査

 パロアルトネットワークス株式会社は8日、「日本国内の中小企業のサイバーセキュリティに関する実態調査 2024年版」に関して実施した調査の結果を公表した。調査では、中小企業の44%が2023年にサイバー犯罪被害を経験しており、日常的にサイバーリスクに晒されている現状が明らかになったとしている。

 調査は、従業員数50〜499人の中小企業において、セキュリティ製品・サービス購入における決裁権者、選定権者を対象に行った。回答数は523人、調査期間は2024年3月14日~18日。

 調査によると、対象のうち44%が、2023年にサイバー攻撃や内部犯行による被害を経験している。被害内容の上位は、マルウェア感染(26%)、システム・サービス障害(20%)、個人情報漏えい(15%)となった。

 地方別では、九州・沖縄地方(56%)、近畿地方(55%)、東海地方(52%)の3地方が被害経験が50%を上回っており、東海地方と九州・沖縄地方はマルウェア感染や個人情報漏えいの被害が他と比較して顕著となった。

 会社の企業規模ごとの被害発生率は、従業員数50〜99人が32%、100〜299人が45%、300〜499人が57%と、従業員規模に比例して被害発生率が高くなっている。ただし、小規模の企業は対策が及ばず、被害に気付いていない可能性も考えられると指摘している。また、会社の事業分類では、製造業への被害(51%)が、非製造業(42%)を上回っており、製造業ではマルウェア感染や機密情報漏えいが非製造業に比べて顕著になり、知的財産が脅かされている可能性も考えられるとしている。

 サプライチェーンリスクに対する意識では、89%がサイバーリスクが自社に与える影響を懸念し、95%がセキュリティを重要視しており、中小企業においてもサプライチェーンリスクに対する懸念が高まっていると指摘。懸念点としては、「得意先への悪影響」(48%)、「社会的な信用下落」(48%)、「得意先・取引先からの信用下落」(45%)、「取引先への悪影響」(44%)が上位に挙がった一方で、「取引停止」や「売り上げ低下」など自社の実ビジネスへの影響に関する懸念はそれぞれ約30%にとどまっている。

 得意先への悪影響に対する懸念は、地域別では東海地方、業種別では製造業が比較的高い。また、得意先や取引先への悪影響、知財やノウハウの外部流出に関する懸念は、非製造業と比較して製造業で相対的に高くなっている。パロアルトネットワークスでは、当局や業界団体など、外部からの対策要請の有無がサプライチェーンリスクの意識と相関しており、リスク認識の醸成には外部からの圧力や情報発信が有効と考えられるとしている。

 セキュリティ担当人材の問題では、中小企業におけるセキュリティ業務担当者は、IT担当が兼務(40%)、非IT人材が兼務(34%)で、専任は15%止まり、担当者不在も9%となっており、セキュリティの専門知識を持つ人材不足の深刻さが明らかだと指摘する。

 最大の課題として、47%が「人材不足」を挙げ、「限られた予算」(42%)を上回っており、対策の必要性への認識はあっても、セキュリティの専門性の欠如が大きな障壁になっている。一方で、36%が外部委託(セキュリティ製品・サービスの運用・保守)をしていない、また、63%が外部委託しているものの、うち29%は業者任せで、委託内容自体を把握していないと回答している。

 セキュリティ製品・サービスを選ぶ基準は、49%が「性能の良さ」を挙げ、北陸地方を除く全地域、また規模・業種に関わらず圧倒的に1位となっている。セキュリティ対策を重要視している企業の59%が「性能の良さ」を1位に挙げ、2位は「運用コスト」(30%)、3位は「管理のしやすさ」(28%)となった。

 「価格」が上位に挙げられていないことから、セキュリティ製品・サービスの購入において価格を妥当と判断している、または提示された価格をそのまま受け入れている可能性も高いと推測されるとしている。

 セキュリティ製品・サービスの購入先は、大手の販売会社(40%)、地場の販売会社(19%)、メーカー直販(15%)が上位。関東、近畿以外の地域は、地場の販売会社経由での購入率が高い。また、クラウドサービスのマーケットプレイス経由からの購入も12%となり、外部委託に依存しない導入や、購入の手軽さ・スピードを重要視する傾向も見られるとしている。

 パロアルトネットワークス チーフサイバーセキュリティストラテジストの染谷征良氏は、「日本経済の根幹を支える中小企業が成長を遂げる中で、人員不足やサイバー攻撃の脅威などの課題が深刻化しています。4割以上がサイバー攻撃の被害を経験している今日、複雑なサプライチェーンを構成している中小企業はサプライチェーンリスクの懸念からセキュリティへの重要視も9割に達しています。外部の専門知識やサービスの利用と共に、低い運用負荷での包括的なセキュリティを構築することが極めて大切です」とコメントしている。