EnterpriseZineニュース

サイバーインシデントにより「取引先に影響があった」企業は約7割　被害額は平均73万円──IPA調査

2025/02/18 18:40

通知

　情報処理推進機構（IPA）は、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を公開した。

過去3期内で、サイバーインシデントが発生した企業の被害額は平均73万円

　2023年度にサイバーインシデントの被害を受けたと回答した企業のうち、サイバーインシデントによる影響として、「データの破壊」と回答した企業が35.7％、「個人情報の漏えい」と回答した企業が35.1％。また、過去3期に発生したサイバーインシデントで生じた被害額の平均は73万円であり、100万円以上の被害額であった企業は9.4％（最大で1億円）、過去3期内で10回以上のサイバーインシデント被害に遭った企業が1.7％（最大で40回）、復旧までに要した期間の平均は5.8日であり、50日以上を要した企業が2.1％（最大で360日）だったという。

不正アクセスされた企業の約5割が脆弱性を突かれ、他社経由での侵入も約2割

　2023年度にサイバーインシデントの被害を受けた企業のうち「不正アクセス被害を受けた」と回答した企業について、サイバー攻撃の手口を聞いたところ、「脆弱性（セキュリティパッチの未適用など）を突かれた」が48.0％で最も多く、次いで「ID・パスワードをだまし取られた」が36.8％。また、「取引先やグループ会社などを経由して侵入」も19.8％あり、サプライチェーン上のセキュリティリスクが読み取れるとしている。

　不正アクセスによる被害の内容については、「自社Webサイトのサービス停止、または機能が低下させられた」が22.9％、「業務サーバーのサービス停止、または機能が低下させられた」が20.3％と上位にランクイン。次いで、「自社Webサイトの改ざん」が16.5％、「業務サーバー内容の改ざん」が15.5％、「第三者によるなりすまし」が13.4％と、特定のシステムに限らず被害を受けている状況がわかったという。

サイバーインシデントにより取引先に影響があった企業は約7割

　2023年度にサイバーインシデントの被害を受けたと回答した企業のうち、全体の約3割に相当する「特になし」を除くと、約7割が「サイバーインシデントにより取引先に影響があった」と回答。そのうち、「取引先にサービスの停止や遅延による影響が出た」は36.1％だという。また、「個人顧客への賠償や法人取引先への補償負担の影響が出た」が32.4％、「原因調査・復旧に関わる人件費などの経費負担があった」が23.2％。サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼし、事業の継続性を脅かす実情を浮き彫りにしているという。

約7割の企業が組織的なセキュリティ体制が整備されていない

　「専門部署がある」企業は9.3％と過去の調査よりわずかに増えている一方で、「兼務担当者が任命されている」企業は減少し、「組織的対策を行っていない（各自の対応）」企業が増加。約7割の企業で、組織的なセキュリティ体制が整備されていない状況がうかがえるという。

過去3期における情報セキュリティ対策投資を行っていない企業は約6割

　「情報セキュリティ対策投資をしていない」企業の割合は62.6％で、2016年度調査の55.2％、2021年度調査の33.1％から増加しているとのことだ。

　情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない」が44.3％と最も多く、次いで「費用対効果が見えない」が24.2％、「コストがかかりすぎる」が21.7％。中小企業として資金が限られる中で、情報セキュリティ投資に踏み出せない状況がうかがえるとしている。

情報セキュリティ関連製品やサービスの導入状況は微増

　情報セキュリティ対策の必要性があると感じている企業のうち、ウイルス対策ソフトの導入率は80.0％であり、基本的なセキュリティ対策の導入は進んでいるという。また、新たなセキュリティニーズを反映し、フィルタリングや資産管理製品の導入が拡大。ネットワーク管理の重要性も認識されてきており、クライアントPCの設定管理製品の導入も増え、2016年度調査の4.1％から8.7％に増加しているという。データ保護への関心と投資が顕著に高まっており、それにともない様々なセキュリティ製品が導入されつつあることがうかがえるとしている。

セキュリティ対策投資を行っている企業の約5割が、取引につながった

　取引先（発注元企業）から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、取引先から要請された対策を行ったことが「取引につながった大きな要因」と42.1％が回答。

　また、情報セキュリティ対策投資別に見ると、過去に情報セキュリティ対策投資を行っている企業の49.8％が、発注元からの要請で対策を行ったことが「取引につながった」と回答しているのに対し、情報セキュリティ対策投資を行っていない企業では27.4％にとどまっているという。

サイバーセキュリティお助け隊サービスの導入企業の5割以上が、セキュリティ対策の導入が容易と回答

　「サイバーセキュリティお助け隊サービス制度」を導入した企業のうち、導入して良かった点として「ワンパッケージでの情報セキュリティ対策」が56.9％と最も多く、次いで「導入が容易」と55.9％が回答。また、「コスト削減」と36.3％が回答し、お助け隊サービスが中小企業にとって費用対効果ある対策であることがわかるという。

調査概要

調査期間：2024年10月25日～11月6日
調査方法：Webアンケート
調査対象：中小企業の経営層
回収数：4,191件

この記事は参考になりましたか？

印刷用を表示

関連リンク: プレスリリース

この記事の著者: EnterpriseZine編集部（エンタープライズジンヘンシュウブ）

「EnterpriseZine」（エンタープライズジン）は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事