日本ネットワークセキュリティ協会(JNSA)はこのほど、情報処理推進機構(IPA)と共同で、中小企業における情報セキュリティ対策の実態調査を実施し、その結果を公表しました。中小企業においても情報セキュリティに関するインシデントの損害額が、場合によっては数千万円から数億円に及ぶ可能性があるため、さらなる対策への取り組みが求められています。
アンケート調査は2024年10月28日から11月18日に実施され、IPAの情報セキュリティ対策自己宣言制度「SECURITY ACTION」の「二つ星」を宣言している33,573事業者を対象とし、1,867件の回答を得ました。アンケートの質問内容は、IPAが公開している「5分でできる!情報セキュリティ自社診断(Excel版)」の25項目の実施状況や課題、必要な支援策についてです。また、アンケート回答者を対象にしたヒアリング調査も2025年2月27日から3月4日に行われました。
25項目ある対策について実施済みと回答した割合が最も多かったのは、ウイルス対策ソフトの導入といった対策を指す「ウイルス感染」で唯一の80%超えとなりました。次いで多かったのは「(OSやソフトウェアの)アップデート」(78.2%)、電子メール受信時にウイルス感染に気を付ける「電子メール受信」(77.9%)、インターネットを介したウイルス感染やSNSへの書き込みなどによるトラブルへの対策を行う「インターネット」(77.9%)となり、外部からの攻撃に対する防御対策の実施率が高い傾向にあることがわかりました。
一方、組織としての「事故対応(緊急時の体制整備や対応手順を作成するなど準備をしているか)」や「対策の明確化(情報セキュリティ対策をルール化し、従業員に明示しているか)」の実施率は40%台と低いことが明らかとなりました。
アンケート調査では、セキュリティ対策を実施していない理由と、どのような支援施策があれば実施できそうかも併せて尋ねています。これらの回答結果を踏まえ、中小企業が抱える課題として、費用面や社内合意の難しさ、人材不足などの問題が障害となっていると分析しています。支援施策には、補助金支給や税制優遇のほか、法などによる対策実施の義務化、専門家の派遣、人材育成支援などの要望が寄せられました。
セキュリティ対策の実施率を業種別でみると、情報通信業、金融業、保険業は高い一方、建設業、製造業、卸売業、小売業は、全般的に低くなりました。実施率の低い業界については、業界団体と連携し、業界特有の習慣や業務状況に応じたセキュリティガイドラインの策定などの支援が必要であると指摘しています。
ヒアリング調査では、「インシデント対応体制の構築や具体的なBCP対策は、実施が難しいと感じている」という声などが挙がりました。対応が難しい、あるいは見送った対策を実施するために、「支援があれば対応が容易になる」として挙げられたものでは、「セキュリティ専門家が不足しているため第三者的に中立な立場で支援してくれる支援者が欲しい」「課題を定期的に洗い出す仕組みがないため第三者の評価が欲しい」という意見が紹介されました。
