独立行政法人情報処理推進機構(IPA)は2月14日、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を発表した。
同レポートは、全国の中小企業4,191社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査したもの。
調査結果によると、2023年度にサイバーインシデントの被害を受けたと回答した企業975社のうち、サイバーインシデントによる影響として「データの破壊」と回答したのは35.7%、「個人情報の漏えい」と回答したのは35.1%であった。

過去3期に発生したサイバーインシデントで生じた被害額の平均は73万円で、100万円以上の被害のあった企業は9.4%、過去3期内で10回以上のサイバーインシデント被害に遭った企業は1.7%、復旧までに要した期間の平均は5.8日で、50日以上を要した企業も2.1%あった。
2023年度にサイバーインシデントの被害を受けた企業のうち「不正アクセス被害を受けた」と回答した企業419社について、サイバー攻撃の手口を尋ねたところ、「脆弱性(セキュリティパッチの未適用等)を突かれた」との回答が最多の48.0%となり、「ID・パスワードをだまし取られた」が36.8%、「取引先やグループ会社等を経由して侵入」が19.8%で続いた。

不正アクセスによる被害内容について尋ねたところ、「自社Webサイトのサービス停止、または機能が低下させられた」が22.9%で最多となり、「業務サーバのサービス停止、または機能が低下させられた」が20.3%、「自社Webサイトの改ざん」が16.5%、「業務サーバ内容の改ざん」が15.5%と続いた。

直近過去3期の情報セキュリティ対策投資額(IT機器や社員への教育等も含む)について尋ねたところ、「情報セキュリティ対策投資をしていない」企業は62.6%で、2016年度調査の55.2%、2021年度調査の33.1%からさらに増加していることが判明した。

情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない」が最多の44.3%で、「費用対効果が見えない」が24.2%、「コストがかかりすぎる」が21.7%で続いた。
