他社経由の不正アクセスが約2割、「中小企業における情報セキュリティ対策に関する実態調査」速報版を公開　IPA

情報処理推進機構（IPA）はこのほど、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開しました。

本調査は、2016年度と2021年度に実施された「中小企業における情報セキュリティ対策に関する実態調査」の後続となるものです。全国の中小企業4,191社を対象としてウェブアンケートを行い、情報セキュリティ対策への取り組みや被害状況などが調査されました。結果として、2021年度の調査と比べ、情報セキュリティ対策の実施状況はわずかしか改善が見られず、さらなる対策が必要だと明らかにされました。

主なポイントとしては、例えば「過去3期内でサイバーインシデントが発生した企業の平均被害額は73万円、復旧までに要した平均期間は5.8日」というものがあります。過去3期に発生したサイバーインシデントによる被害額の平均は73万円で、最大では1億円。復旧までに要した期間は平均5.8日、最大では360日と記されています。これに対しIPAは、サイバーインシデントでは大企業の被害が目立つものの、中小企業も甚大な被害を受けていることが伺えるとの見解を示しました。

また、「不正アクセスされた企業の約5割が脆弱性を突かれ、他社経由での侵入も約2割」というポイントも挙げられています。2023年度にサイバーインシデントの被害を受けた企業に攻撃の手口を聞いたところ「脆弱性（セキュリティパッチの未適用など）」が48.0％と最多、「ID・パスワードを騙し取られた」が36.8％となりました。「取引先を経由して侵入」という回答も19.8％あり、サプライチェーン上のセキュリティリスクについて言及しています。

このほか、計8つのポイントが紹介されました。詳細な報告書は、4月頃に公開予定だとしています。

参考情報