情報セキュリティ

「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について

最終更新日:2022年5月23日

独立行政法人 情報処理推進機構
セキュリティセンター

「2021年度 中小企業における情報セキュリティ対策に関する実態調査」における個別調査において収集した情報セキュリティの取り組み等を事例集としてまとめ、ページ下部に掲載します。

報告書の概要

企業や組織を狙うサイバー攻撃が日常的に発生するなか、昨今では情報セキュリティ対策が強固な大企業ではなく、同一のサプライチェーンを構成する中小企業等の取引先を経由して目的企業を攻撃する事例も報じられています。中小企業は、サイバー攻撃により取引先企業の機密情報が漏えいするだけでなく、次なる攻撃の足掛かりとされる可能性があることを念頭に置き、適切な情報セキュリティ対策を実施することが重要です。

IPAでは2016年度に「中小企業における情報セキュリティ対策に関する実態調査」(以下、前回調査)を実施しました。本調査は2016年度の後続となる調査です。その結果、この5年間で情報セキュリティ対策の実施状況は、わずかに改善しているものの、依然として中小企業における対策実施に関する課題は多く、更なる対策の必要性の訴求や、対策の実践に向けた支援の必要性が明らかになりました。
主な調査結果は以下のとおりです。

1) 過去3期における「IT投資」「情報セキュリティ投資」を行っていない企業はともに約3割

過去3期における「IT投資」の状況について、「投資を行っていない」と回答した企業は30%でした。また、過去3期の「情報セキュリティ対策投資」についても「投資を行っていない」と回答した企業は33.1%でした。「IT投資」については前回調査(47.7%)と比較すると17.7%の改善と考えることができ、ITの導入・活用が中小企業においても一定程度、進んでいる様子がうかがえます。

  • 図1:「直近過去3期のIT投資額」(左)と「直近過去3期の情報セキュリティ対策投資額」(右)

情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない」の割合が最も多く40.5%で、「費用対効果が見えない(24.9%)」、「コストがかかりすぎる(22.0%)」が続いています。なお、中小企業(101人以上)の「その他」の割合が高いところ、これには「親会社が投資しているため自社負担がない」といった趣旨の回答が多くありました。

  • 図2:情報セキュリティ対策投資を行わなかった理由(企業規模別)

2) 情報セキュリティ対策の実施状況は、5年前と比べてわずかに改善

被害防止のための組織面・運用面の対策の実施状況について、前回調査の結果と比較すると、大半の項目で対策実施の割合が増加していました。特に、「情報セキュリティ対策の定期的な見直し」については17.4%と前回調査(5.6%)から10%以上増加しました。

  • 図3:被害防止のための組織面・運用面での対策(前回比較)

一方、情報セキュリティ関連製品やサービスの導入状況について、「VPN」の導入については17.1%と前回調査(11.9%)から5.2%増加しているものの、その他の情報セキュリティ関連製品やサービスについては前回調査と大きな差がない状況でした。

  • 図4:情報セキュリティ関連製品やサービスの導入状況(前回比較)

3) 情報セキュリティ被害に「あっていない」との回答が84.3%

2020年度の1年間に情報セキュリティ被害にあったか否かを聞いた設問では、84.3%が「被害にあっていない」と回答しました。何らかの被害にあった企業は5.7%で、最も多い回答は「コンピュータウイルスに感染(2.7%)」でした。

  • 図5:2020年度における情報セキュリティ被害の有無

また、コンピュータウイルスの被害を認識している企業のうち、想定される侵入経路は「電子メール」の割合が最も高く62.2%で、「インターネット接続(ホームページ閲覧など)(45.9%)」、「自らダウンロードしたファイル(23.4%)」が続きました。

  • 図6:感染あるいは発見したコンピュータウイルスの想定される侵入経路

しかし、令和2年度の「中小企業サイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け隊事業)成果報告書(全体版)」では、中小企業1117社に設置した機器が外部からの不審なアクセスを181,536件も検知したことが明らかになっています。情報セキュリティ対策の実施状況を踏まえると、回答企業においてサイバー攻撃を認識できていない可能性も否定できません。

4) 取引先からの情報セキュリティに関する条項・取引上の要請は63.2%が「ない」と回答

取引先からの情報セキュリティに関する条項・取引上の要請の有無については、63.2%の企業が「義務・要請はない」と回答しました。「義務・要請がある」企業は26.1%で、販売先(発注元企業)からの契約時の要請としては「秘密保持」の割合が最も高く93.8%で、「契約終了後の情報資産の扱い(返却、消去、廃棄等)(36.3%)」、「情報セキュリティに関する契約内容に違反した場合の措置(32.4%)」が続きました。

  • 図7:「販売先・仕入先からの情報セキュリティに関する条項・取引上の義務・要請」(左)と
    「契約時における情報セキュリティに関する要請(販売先(発注元企業)との契約時))(右)

調査概要

調査手法
  • ウェブによるアンケート調査
  • アンケート調査結果に基づくインタビュー調査
調査対象

【アンケート調査】
全国の中小企業を対象とし、業種別(10区分)、企業規模別(3区分)、で中小企業基本法の定義に基づいて割付を行い、サンプルを回収。
【個別調査】
アンケート調査対象者のうち、個別調査実施の応諾を得た回答者

調査期間

2021年10月~2021年12月

有効回答数

4,074人(内訳:経営層2,819人、ITや情報セキュリティの社内担当者561人、一般社員、役職無回答・不明:694人)

報告書のダウンロード

事例集のダウンロード

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    isec-pr-nwアットマークipa.go.jp

更新履歴

  • 2022年5月23日

    調査報告書、概要説明資料を更新しました。

  • 2022年5月13日

    事例集を更新しました。