2024年度 中小企業における情報セキュリティ対策に関する実態調査~中小企業の6割がセキュリティ投資せず
2025.7.16
近年、サプライチェーン上の弱点を狙って攻撃対象への侵入を図るサイバー攻撃が増加している。サプライチェーンを構成する企業のサイバー攻撃への対策が不十分である場合、当該企業の事業活動に支障が生じるだけでなく、重要情報の流出や製品・サービスの供給停止などに繋がりかねず、当該企業を踏み台にして取引先が攻撃される恐れもある。
2025年5月27日にIPAは、「2024年度中小企業等実態調査」(以下、本調査という)の結果を公表、中小企業のセキュリティ対策状況について報告した。IPAは、同種の調査を2016年度および2021年度に実施している。
<調査概要>
| 文献調査 | アンケート調査 | インタビュー調査 | |
|---|---|---|---|
| 調査 対象 |
20件の文献 | 中小企業等の経営層および情報システム/情報セキュリティの担当マネージャ(4,191件) | アンケート回答者のうち有効な取組を実施していると想定される中小企業等(21社) |
| 調査 項目 |
|
|
|
出典:本調査報告書をもとに当社作成
本調査結果によると、過去3年間に情報セキュリティ対策投資を行っていない企業は約6割に上っている。2016年度、2021年度の調査結果よりも悪化しており、中小企業が情報セキュリティ対策投資に踏み出せていない実態が明らかになった。また、投資をしていない理由として「必要性を感じない」ことを挙げた割合は小規模企業者では約5割となっており、中小企業におけるサイバーセキュリティ対策が進まない原因として、セキュリティ投資の費用対効果が不明瞭であることが主な原因の一つと示された。
IPAが普及展開している「SECURITY ACTION※1」や「サイバーセキュリティお助け隊サービス※2」は、中小企業向けに開発された情報セキュリティ対策推進策であり、一定の基準を満たせば、補助金の対象となるなどの仕組みが用意されている。しかし、どちらも中小企業の認知度は10%を下回っており、活用されているとは言い難い。
中小企業のサイバーセキュリティ対策を進めるためには、取引先がサイバーセキュリティ対策の実施を条件として仕事を発注するなどの動機付けが必要であろう。中小企業をはじめすべての企業や組織がサイバーセキュリティの重要性を理解し、積極的に対策を講じるよう、環境の整備や継続的な啓発活動が強く求められる。
※1)SECURITY ACTION:中小企業が、情報セキュリティ対策に取組むことを自己宣言する制度。
※2)サイバーセキュリティお助け隊サービス:中小企業に対するサイバー攻撃への対処として不可欠なサービスをワンパッケージにまとめた、民間の事業者から提供されるサービス。
【参考情報】
独立行政法人情報処理推進機構(IPA): 「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について https://www.ipa.go.jp/security/reports/sme/sme-survey2024.html
