サイバーセキュリティ対策の課題は「コストと人材不足」、2024年度 中小企業における情報セキュリティ対策に関する実態調査報告書を公表 IPA
情報処理推進機構(IPA)は5月27日、「2024年度 中小企業における情報セキュリティ対策に関する実態調査報告書」(全体版)を公表しました。IPAでは同調査の速報版を2月に公開し、サプライチェーン上のリスクに加え、サイバーセキュリティの不備が取引先にも深刻な影響を及ぼしていることを明らかにしています。一方、今回の報告書では、中小企業が実施している具体的な対策やその効果、さらにセキュリティ対策に取り組む上での課題について主なポイントを整理して公表しています。
まず、「OSやソフトウェアを最新の状態にアップデートしている」「ウィルス対策ソフト導入し最新の状態にしている」と答えた企業が7割超えとなり、基本的なセキュリティ対策が浸透していることがわかりました。その一方で、実際のセキュリティ事故に対する対応手順の作成や緊急時の体制整備については約5割近くの企業が行っておらず、組織的なセキュリティ対策が十分に行われていないことが明らかとなりました(有効回答数は4,191社)。
次に、アンケートの項目を点数化し採点したところ、情報セキュリティ対策を「実施している」と多く答えた合計点が高い企業ほど、情報の漏洩や改ざん、情報システムの機能停止といったセキュリティの事故(セキュリティインシデント)による影響が少ないことが伺える結果となりました。
3つ目のポイントは、約1割(511社)の企業が発注元企業よりセキュリティ対策の要請を受けたことがあり、その要請に応えるための課題が見えてきたことです。対策を実施する上での課題として最も回答数が多かったのが、コスト面の「対策費用の用意、費用負担の検討」、そして人材不足によると考えられる「情報セキュリティ対策に関する販売先(発注元企業)との契約内容の明確化」と、「専門人材の確保・育成」が続きました。コストと人材不足が大きな課題となっていることがわかります。
このほか、発注元企業からセキュリティ対策に関する要請を受けた経験がある企業のうち4割強は、情報セキュリティ対策の実施が取引獲得の大きな要因になったと考えていることが分かりました。これをセキュリティ体制の整備状況別にみると、セキュリティ体制の整備がなされている企業の約6割が、ISMS(情報セキュリティマネジメントシステム)の認証を取得している企業の約7割が「発注元からの要請で情報セキュリティ対策を行ったことが取引につながった」と回答しており、中小企業のセキュリティ対策が取引においても重要視されることなどが報告されています。
