実態調査とセキュリティ

IPAから「2024年度中小企業における情報セキュリティ対策に関する実態調査」の報告が公表されました。
全国の中小企業4191社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査した結果をまとめたものになります。
今回のコラムでは、実態調査からみられる中小企業の取り組みを解説します。

全体的に見て取られるのは、「セキュリティ対策に取り組む中小企業は増加傾向にあるものの、依然として基本的な対策で止まっている企業が多数あること」です。

特に注目すべきは、「ウイルス対策ソフトの導入」や「OS・ソフトの更新」といった『守りの基本』はおおむね定着してきた一方で、パスワード管理、バックアップ、従業員教育といった『人的・運用面の対策』が不十分な点です。調査では、「インシデント対応の不備」、「セキュリティルールの不備」、「情報の共有不備」と回答した企業が約6割にも上っており、ヒューマンエラーによる事故リスクの高さが懸念されます。

また、生成AIやクラウドサービスの利用が進む一方で、リスク評価や管理体制の整備が追いついていない実態も浮き彫りになりました。新技術の活用は業務効率化に寄与しますが、利便性と安全性のバランスをとることが今後の課題となります。

さらに、インシデント発生時の対応策（BCPや復旧手順）の策定率が低いことも指摘されています。サイバー攻撃は防ぐだけでなく、「攻撃を受けた後にどう対応するか」が企業の存続を左右します。最低限、連絡体制や復旧優先順位などのフローを紙1枚でもよいので明文化しておくことが求められます。

今回の調査は、中小企業にとって「うちは小さいから狙われない」という思い込みを見直すチャンスです。『できる範囲からの一歩』こそが、最大の防御となるのです。情報セキュリティ対策は一度きりのイベントではなく、継続的な取り組みとして位置づけることが重要です。