はじめに
独立行政法人情報処理推進機構(IPA)が2025年2月に公開した「2024年度中小企業における情報セキュリティ対策の実態調査」の速報版から、中小企業のサイバーセキュリティ対策の現状が明らかになりました。調査結果は、多くの経営者にとって他人事では済まされない内容となっています。
本記事では、全国4,191社を対象とした大規模調査から見えてきた中小企業のリアルな実情を、わかりやすく解説します。
本記事は、https://www.ipa.go.jp/security/reports/sme/sme-survey2024.html の調査データを基に作成しています。
中小企業のサイバー被害の実態が想像以上に深刻
被害企業の3分の1が「データ破壊」「個人情報漏えい」を経験
2023年度にサイバーインシデントの被害を受けた企業975社のうち、実に35.7%が「データの破壊」、35.1%が「個人情報の漏えい」という深刻な被害を受けていることが判明しました。
これは単なる数字以上の意味を持ちます。3社に1社が事業の根幹に関わる重要なデータを失っているということは、明日あなたの会社が同じ状況に陥る可能性が決して低くないということを示しているのです。
平均被害額73万円、復旧まで約6日間の業務停止
過去3年間で発生したサイバーインシデントによる被害額の平均は73万円、復旧までに要した期間の平均は5.8日でした。しかし、この数字にも注目すべき点があります:
- 被害額100万円以上の企業:9.4%(最大1億円)
- 復旧に50日以上要した企業:2.1%(最大360日)
- 過去3年で10回以上被害を受けた企業:1.7%(最大40回)
中小企業にとって数十万円の損失と1週間近い業務停止は、経営に直結する深刻な問題です。特に、最大1億円の被害や1年間の復旧期間を要したケースもあることを考えると、「うちは小さな会社だから大丈夫」という考えがいかに危険かがわかります。
サイバー攻撃の手口と傾向
最多は「脆弱性を突かれた攻撃」が48%
不正アクセス被害を受けた419社への調査で、攻撃手口の内訳が明らかになりました:
- 脆弱性を突かれた攻撃:48.0%
- ID・パスワードの盗取:36.8%
- 取引先経由での侵入:19.8%
特に注目すべきは、約半数の企業が「セキュリティパッチの未適用」などの基本的な対策不備により被害を受けている点です。これは裏を返せば、適切な対策を講じることで防げた可能性が高いということを意味します。
サプライチェーン攻撃の脅威が現実化
「取引先経由での侵入」が19.8%という数字は、サプライチェーン攻撃がもはや理論上の脅威ではなく、現実の問題となっていることを示しています。自社がしっかりと対策していても、取引先のセキュリティが甘ければ攻撃の入り口となってしまう可能性があるのです。
被害の影響は取引先にも波及
約7割の企業で取引先への影響が発生
サイバーインシデント被害を受けた企業の約7割が「取引先に影響があった」と回答しました。具体的な影響内容は以下の通りです:
- サービス停止や遅延による影響:36.1%
- 賠償や補償負担:32.4%
- 調査・復旧費用:23.2%
この結果は、サイバーセキュリティが単なる「IT部門の問題」ではなく、「経営問題」であることを如実に示しています。自社の被害が取引先に波及することで、信頼関係の悪化や取引停止といった二次的な損害も発生する可能性があります。
中小企業のセキュリティ投資の現状
62.6%の企業が「セキュリティ投資ゼロ」
最も衝撃的な調査結果の一つが、情報セキュリティ対策投資を全く行っていない企業の割合です:
- 2016年度:55.2%
- 2021年度:33.1%
- 2024年度:62.6%
一度は改善したかに見えた投資状況が、再び悪化していることがわかります。この背景には何があるのでしょうか。
投資をしない理由の本音
セキュリティ投資を行わない理由として挙げられたのは:
- 必要性を感じていない:44.3%
- 費用対効果が見えない:24.2%
- コストがかかりすぎる:21.7%
これらの回答からは、中小企業経営者の率直な本音が見えてきます。限られた予算の中で、目に見える効果が分からない投資を躊躇する気持ちは理解できますが、前述の被害実態を考えると、この認識のギャップは非常に危険と言えるでしょう。
組織体制の課題
約7割の企業で組織的なセキュリティ体制が不在
情報セキュリティの組織体制についても深刻な状況が明らかになりました:
- 専門部署がある企業:9.3%
- 兼務担当者が任命されている企業:減少傾向
- 組織的対策を行っていない企業:増加傾向
約7割の企業で組織的なセキュリティ体制が整備されていないという状況は、「誰がセキュリティに責任を持つのか」が不明確な状態を示しています。
効果的な対策とその成果
基本対策は着実に浸透
一方で、希望を感じさせる結果もあります。セキュリティ対策の必要性を感じている企業においては:
- ウイルス対策ソフト導入率:80.0%
- フィルタリング・資産管理製品の導入拡大
- クライアントPC設定管理製品:4.1%→8.7%(2016年度比)
基本的な対策については着実に普及が進んでいることがわかります。
「お助け隊サービス」の効果
「サイバーセキュリティお助け隊サービス制度」を導入した102社では、以下の効果が報告されています:
- ワンパッケージでの対策:56.9%
- 導入の容易さ:55.9%
- コスト削減:36.3%
中小企業にとって、専門知識がなくても導入しやすく、コスト効率の良い対策として評価されています。
セキュリティ対策が取引拡大につながる
取引先からセキュリティ要請を受けた企業のうち、42.1%が「セキュリティ対策が取引拡大の要因になった」と回答しています。特に、セキュリティ投資を行っている企業では49.8%が効果を実感しており、投資を行っていない企業の27.4%と大きな差が出ています。
これは、セキュリティ対策を「コスト」ではなく「投資」として捉える重要性を示す結果と言えるでしょう。
今すぐ始められる対策
1. 基本中の基本:セキュリティパッチの適用
調査結果から、最も多い攻撃手口が「脆弱性を突かれた攻撃」であることがわかりました。これを防ぐ最も効果的な方法は、OSやソフトウェアのセキュリティパッチを速やかに適用することです。
2. ID・パスワード管理の強化
36.8%の企業が経験した「ID・パスワードの盗取」を防ぐためには:
- 複雑なパスワードの設定
- 定期的なパスワード変更
- 多要素認証の導入
- パスワード管理ツールの活用
3. 従業員教育の重要性
技術的な対策と同様に重要なのが、従業員への教育です。フィッシングメールや不審なリンクに対する警戒心を持つことで、多くの攻撃を未然に防ぐことができます。
まとめ:「明日は我が身」の意識を持つことの重要性
今回のIPA調査結果は、中小企業のサイバーセキュリティが想像以上に深刻な状況にあることを示しています。特に注目すべきポイントは:
- 被害の規模と頻度が想像以上に大きい
- 基本的な対策で防げる攻撃が多い
- 取引先への影響が事業継続に直結する
- 適切な対策が新たなビジネス機会を生む
「うちは小さな会社だから狙われない」という考えはもはや通用しません。むしろ、セキュリティ対策が手薄になりがちな中小企業こそが、攻撃者にとって格好のターゲットとなっているのが現実です。
重要なのは、完璧な対策を一度に整備することではなく、基本的な対策から段階的に強化していくことです。今回の調査結果を「他人事」として受け流すのではなく、「明日は我が身」という意識を持って、できることから始めていくことが求められています。
セキュリティ投資は確かにコストがかかりますが、被害を受けた場合の損失と比較すれば、決して高い投資ではありません。むしろ、適切な対策により新たな取引機会を獲得できる可能性もあることを考えれば、積極的に取り組むべき経営課題と言えるでしょう。
参考資料:独立行政法人情報処理推進機構「2024年度中小企業における情報セキュリティ対策の実態調査」(https://www.ipa.go.jp/security/reports/sme/sme-survey2024.html より引用)
