HOMEIPAについて新着情報プレス発表「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開

本文を印刷する

IPAについて

プレス発表「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開

~5年間で情報セキュリティ対策の実施状況の改善はわずか~

公開日:2022年3月31日
最終更新日:2022年5月23日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:富田達夫)は本日、「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開しました。2016年度調査との比較では、中小企業における対策の実施状況の改善はわずかであり、更なる対策の必要性の訴求や対策の実践に向けた支援の必要性が明らかになりました。

 URL:https://www.ipa.go.jp/security/fy2021/reports/sme/index.html

  企業や組織を狙うサイバー攻撃が日常的に発生するなか、昨今では情報セキュリティ対策が強固な大企業ではなく、同一のサプライチェーンを構成する中小企業等の取引先を経由して目的企業を攻撃する事例も報じられています。中小企業は、サイバー攻撃により取引先企業の機密情報が漏えいするだけでなく、次なる攻撃の足掛かりとされる可能性があることを念頭に置き、適切な情報セキュリティ対策を実施することが重要です。IPAは本日、中小企業における情報セキュリティ対策の実情を把握する目的で実施した「2021年度中小企業における情報セキュリティ対策に関する実態調査報告書」を公開しました。本調査は、2016年度の「中小企業における情報セキュリティ対策に関する実態調査」(以下、前回調査)の後続となる調査です。

 本調査では、全国の中小企業4074社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策などを調査しました。その結果、この5年間で情報セキュリティ対策の実施状況の改善はわずかであり、依然として課題は多く、更なる対策の必要性の訴求や対策の実践に向けた支援の必要性が明らかになりました。主な調査結果は以下のとおりです。

1) 過去3期における「IT投資」「情報セキュリティ投資」を行っていない企業はともに約3割

 過去3期における「IT投資」の状況について、「投資を行っていない」と回答した企業は30%でした。また、過去3期の「情報セキュリティ対策投資」についても「投資を行っていない」と回答した企業は33.1%でした。「IT投資」については前回調査(47.7%)と比較すると17.7%の改善と考えることができ、ITの導入・活用が中小企業においても一定程度、進んでいる様子がうかがえます。
「直近過去3期のIT投資額」(左)と「直近過去3期の情報セキュリティ対策投資額」(右)
図1:「直近過去3期のIT投資額」(左)と「直近過去3期の情報セキュリティ対策投資額」(右)

 情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない」の割合が最も多く40.5%で、「費用対効果が見えない(24.9%)」、「コストがかかりすぎる(22.0%)」が続いています。なお、中小企業(101人以上)の「その他」の割合が高いところ、これには「親会社が投資しているため自社負担がない」といった趣旨の回答が多くありました。

情報セキュリティ対策投資を行わなかった理由(企業規模別)
図2:情報セキュリティ対策投資を行わなかった理由(企業規模別)

2) 情報セキュリティ対策の実施状況は、5年前と比べて改善はわずか

 被害防止のための組織面・運用面の対策の実施状況について、前回調査の結果と比較すると、大半の項目で対策実施の割合が増加していました。特に、「情報セキュリティ対策の定期的な見直し」については17.4%と前回調査(5.6%)から10%以上増加しました。


被害防止のための組織面・運用面での対策(前回比較)
図3:被害防止のための組織面・運用面での対策(前回比較)

 一方、情報セキュリティ関連製品やサービスの導入状況について、「VPN」の導入については17.1%と前回調査(11.9%)から5.2%増加しているものの、その他の情報セキュリティ関連製品やサービスについては前回調査と大きな差がない状況でした。

情報セキュリティ関連製品やサービスの導入状況(前回比較)
図4:情報セキュリティ関連製品やサービスの導入状況(前回比較)

3) 情報セキュリティ被害に「あっていない」との回答が84.3%

 2020年度の1年間に情報セキュリティ被害にあったか否かを聞いた設問では、84.3%が「被害にあっていない」と回答しました。何らかの被害にあった企業は5.7%で、最も多い回答は「コンピュータウイルスに感染(2.7%)」でした。

2020年度における情報セキュリティ被害の有無
図5:2020年度における情報セキュリティ被害の有無

 また、コンピュータウイルスの被害を認識している企業のうち、想定される侵入経路は「電子メール」の割合が最も高く62.2%で、「インターネット接続(ホームページ閲覧など)(45.9%)」、「自らダウンロードしたファイル(23.4%)」が続きました。

感染あるいは発見したコンピュータウイルスの想定される侵入経路
図6:感染あるいは発見したコンピュータウイルスの想定される侵入経路

 しかし、令和2年度の「中小企業サイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け隊事業)成果報告書(全体版)」では、中小企業1117社に設置した機器が外部からの不審なアクセスを181,536件も検知したことが明らかになっています。情報セキュリティ対策の実施状況を踏まえると、回答企業においてサイバー攻撃を認識できていない可能性も否定できません。

4) 取引先からの情報セキュリティに関する条項・取引上の要請は63.2%が「ない」と回答

 取引先からの情報セキュリティに関する条項・取引上の要請の有無については、63.2%の企業が「義務・要請はない」と回答しました。「義務・要請がある」企業は26.1%で、販売先(発注元企業)からの契約時の要請としては「秘密保持」の割合が最も高く93.8%で、「契約終了後の情報資産の扱い(返却、消去、廃棄等)(36.3%)」、「情報セキュリティに関する契約内容に違反した場合の措置(32.4%)」が続きました。

「販売先・仕入先からの情報セキュリティに関する条項・取引上の義務・要請」(左)と
「契約時における情報セキュリティに関する要請(販売先(発注元企業)との契約時)」(右)
図7:「販売先・仕入先からの情報セキュリティに関する条項・取引上の義務・要請」(左)と 「契約時における情報セキュリティに関する要請(販売先(発注元企業)との契約時)」(右)

 本調査の結果をIPAは、中小企業の情報セキュリティ対策ガイドライン、SECURITY ACTION制度、サイバーセキュリティお助け隊サービス等の制度へ活かし、今後の中小企業における情報セキュリティ対策の普及活動へつなげていきます。また、サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)や中小企業支援機関等との連携を通じて、産業界全体での取組みを継続的に支援していきます。
 なお、本調査では報告書の詳細版および概要版のほか、個別のインタビュー調査に基づく61件の取組事例を事例集として取りまとめ、IPAのウェブサイトで後日公開する予定です。情報セキュリティに関する取組内容が充実している、もしくは投資が多い事例や、被害実態等のある事例、サプライチェーン上での要請が多い事例などを選定しています。IPAは事例集を公開することで、中小企業におけるセキュリティ対策の一助となることを期待しています。

<調査概要>

調査手法
  • ウェブによるアンケート調査
  • アンケート調査結果に基づくインタビュー調査
  • 調査対象 【アンケート調査】 全国の中小企業を対象とし、業種別(10区分)、企業規模別(3区分)、で中小企業基本法の定義に基づいて割付を行い、サンプルを回収。
    【個別調査】 アンケート調査対象者のうち、個別調査実施の応諾を得た回答者
    調査期間 2021年10月~2021年12月
    有効回答数 4,074人(内訳:経営層2,819人、ITや情報セキュリティの社内担当者561人、一般社員、役職無回答・不明:694人)

    プレスリリースのダウンロード

    本件に関するお問い合わせ先

    IPA セキュリティセンター 鈴木/江島

    E-mail: isec-pr-nwアットマークipa.go.jp

    報道関係からのお問い合わせ先

    IPA 戦略企画部 広報戦略グループ 伊藤

    Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。

    更新履歴

    2022年5月23日
    文末に記載した調査概要の「調査対象」欄において、中小企業基本法の誤記を訂正しました。
    (旧)中小企業法
    (新)中小企業基本法