情報セキュリティ対策へ取り組むにあたり、他社の実施状況を知りたいと考える企業経営者や担当者も少なくないでしょう。実施状況の実態を知れば、対策の必要性を理解できるかもしれません。本記事では、企業における情報セキュリティ対策の実態を調査結果に基づいて解説します。
IPAが「2021年度 中小企業における情報セキュリティ対策に関する実態調査」を公開
経済産業省所管の独立行政法人であるIPA(情報処理推進機構)は、2022年3月に「中小企業における情報セキュリティ対策に関する実態調査」の2021年度版を公開しました。2016年度にも同様の調査を実施しており、今回の調査はその後続として行われたものです。調査の対象は、全国の4,074社に及ぶ中小企業であり、オンラインでアンケートを取得しています。
結論からいえば、中小企業におけるセキュリティ対策の実施状況は、前回調査時と大きな違いがありませんでした。多少の改善は見られるものの、さまざまな理由で積極的にセキュリティ対策に取り組んでいない企業も多く見受けられます。
なお、本記事ではIPAが「2021年度 中小企業における情報セキュリティ対策に関する実態調査」において公開している調査結果の内容に基づいて解説します。
ITやセキュリティ対策に投資していない企業の割合と理由
インターネット環境が広く普及し、ビジネスにおいてITを活用することが当たり前になった現在においても、セキュリティ対策に十分な投資をしていない企業は一定の割合で存在します。
IT・セキュリティ対策に投資していない企業は約30%
過去3期におけるIT投資額についての設問では、投資を「していない」と回答した企業が30%に及んでいます。前回調査時の47.7%より大幅に減少しているため、一定の導入が進んでいると考えられるものの、依然として多い割合です。同様に、情報セキュリティ対策投資額に対して投資を「していない」と答えた企業も33.1%という結果が出ています。
なお、それぞれの投資額はいずれも「100万円未満」と答えた企業がもっとも多く、IT投資で37.8%、セキュリティ投資で49.2%でした。
IT・セキュリティ投資をしない理由
IT投資やセキュリティ投資をしない理由として多かったのが、「必要性を感じない」とする回答で、40.5%を占めています。次いで、「費用対効果が見えない」「コストが高い」と回答した企業も多くを占めています。
これらの回答から、中小企業の経営者や管理者の危機意識が低く、セキュリティに関する知識やノウハウが乏しいことが読み取れます。また、セキュリティ対策のコストが負担になっていることも指摘できるでしょう。中小企業庁の「2016年版 中小企業白書」によると、中小企業の情報セキュリティ対策費用を「50万円未満」または「50万~100万円」と回答した割合を合計すると5割を超えています。多くの中小企業が負担できるセキュリティ対策費用は100万円以内であることがうかがえます。外部業者への支払いだけでなく、従業員への教育や人件費なども発生するため、対策にまで費用を回せない企業が多いと考えられるのです。
情報セキュリティ対策の実施状況は?
被害防止を目的にした対策の実施状況は、全体的に増加しています。また、ウイルス対策ソフトやファイアウォールなど、セキュリティ対策関連製品・サービスを導入している企業が多く見受けられる結果となりました。
被害防止を目的にした対策の実施状況は全体的に増加
多くの項目において、被害防止目的の対策実施状況は増加しています。最も顕著だった設問は、被害防止のため組織面や運用面における対策を問うもので、「セキュリティ対策の見直し」と答えた割合が前回の5.6%から17.4%と上昇しています。
サイバー攻撃の手口は年々巧妙になり、新たな脅威も次々と発生しているため、定期的にセキュリティ対策を見直す必要があります。定期的な点検を繰り返すことでセキュリティ体制をブラッシュアップでき、堅牢な環境を構築できるでしょう。
関連製品・サービスの導入状況について
セキュリティ関連の製品・サービスの導入状況に関する設問では、「ウイルス対策ソフト・サービス」と回答した企業は全体の77.2%となりました。ウイルスへの対処はセキュリティ対策の基本であるため、このような結果になったと考えられます。ほとんどの項目において、前回調査と大きく差がついた項目はありませんが、VPNの導入は前回の11.9%に対して本調査では17.1%と、5.2%も増加しています。
VPNの導入により、通信を暗号化できるため安全に情報のやり取りが可能です。また、物理的な距離に影響を受けず利用でき、複数拠点を横断したデータ通信も行えます。一方で、少なからず情報漏えいのリスクがあるほか、通信速度が遅くなる可能性のデメリットもあるため注意が必要です。
情報セキュリティ被害状況は?
本調査では、情報セキュリティ被害に関する設問も用意されています。実際に被害を受けたかどうかを聞いているほか、想定される感染経路を問うことで企業のサイバー攻撃に対する意識も調査しているのです。
被害を受けていない企業が80%以上
2020年度にセキュリティ被害を受けたかの問いに対しては、84.3%が「被害に遭っていない」と回答しています。ただしウイルスは被害を受けているものの、気づいていないケースもあると考えられるため、鵜呑みにはできません。
IPAが公開した「中小企業サイバーセキュリティ対策支援体制構築事業」(サイバーセキュリティお助け隊事業)の成果報告書では、検証に参加した1,117社が設置した機器のうち、181,536件ものサイバー攻撃などが検知されたと報告されています。
このように、サイバー攻撃の脅威はむしろ増しており、全体の80%以上が被害にあっていないとする回答はあまり信頼できません。攻撃を受けていても気づいていないだけである可能性は十分に考えられるでしょう。
コンピュータウィルスの主な感染経路
コンピュータウイルスの想定される侵入経路の設問に対しては、「電子メール」の回答が最も多く(62.2%)、次いで「(ホームページ閲覧などの)インターネット接続」(45.9%)、「ダウンロードしたファイル」(23.4%)と続きました。
電子メールに不正なプログラムを添付し、感染させるポピュラーな手口です。以前からこのような手口はありましたが、近年はますますやり方が巧妙になっています。例えば、実在する人物を装ったり、内部資料に見せかけてファイルを開封させようとしたりといった手口があります。
また、不正なプログラムを仕込んだWebサイトに誘導され、そこで感染してしまうケースも少なくありません。他にも、インターネット上でダウンロードしたファイルにマルウェアが仕込まれているケースもあります。このように、ウイルスの感染経路は多岐にわたるため、経路ごとに必要な対策を行わなければなりません。
取引先からの情報セキュリティに関する要請の有無は?
取引先からの情報セキュリティに関する条項や取引上の要請がないと回答する割合は半数を超えています。ただ、要請はなくても適切に対策をしなければ、企業としての信頼を失いかねません。
義務・要請なしの回答が60%以上
販売先や仕入先からのセキュリティに関する条項や義務、要請に対しては、「ない」と回答した割合は全体の63.2%にのぼっています。一方、「ある」と回答した企業は26.1%で、要請の内容には「秘密保持」や「契約終了後の情報資産の扱い」などが上位を占めます。
情報セキュリティ対策で取引先からの信頼度アップ
万が一、重要な情報が漏えいすると取引先からの信頼を失うおそれがあります。取引先が関わるような情報であればなおさらダメージは大きく、事業継続に関わるかもしれません。
このようなリスクを避けるため、セキュリティポリシーの策定をはじめとした対策をしっかりと行う必要があります。対策ツールの導入も有効ですが、従業員のセキュリティリテラシーが低いと内部から情報が漏えいする恐れがあります。そのため、従業員への適切な教育も必要です。
自社がしっかりと対策をしていても、取引先から情報が洩れる可能性もあります。重要な情報を共有している場合は、どのような対策をしているのかをヒアリングして把握しておくと安心です。
まとめ
「2021年度 中小企業における情報セキュリティ対策に関する実態調査」は、中小企業におけるセキュリティ意識や対策の実態が把握できます。
情報セキュリティ対策を適切に行わなければ、サイバー攻撃やマルウェアなどの被害に遭い、重要な情報の漏えいにつながります。企業としての信頼を失わないためにも、適切な対策を行いましょう。セキュリティ対策を備えたMicrosoft 365やMicrosoft Digital Trust Securityの導入も有効です。