情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. 調査・研究報告書
  4. 中小企業向け報告書
  5. 「2023年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」 報告書について

「2023年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」 報告書について

公開日:2024年4月9日

最終更新日:2024年4月10日

独立行政法人 情報処理推進機構
セキュリティセンター

報告書の概要

調査の目的

IPAでは、2017年4月から中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度である『SECURITY ACTION(注釈1)』の運用を開始し、多くの中小企業が情報セキュリティ対策を実践しています。2023年10月には、SECURITY ACTION自己宣言を行った事業者(以下「宣言事業者」という。)は30万者を突破しており、制度への関心の高さがうかがえます。一方で、2018年度の調査(注釈2)では、SECURITY ACTION自己宣言を行おうとしたきっかけの多くが補助金取得であり、継続的にセキュリティ対策に取り組む意識が低い可能性が考えられます。
本調査は宣言事業者を対象としたアンケート調査を実施し、情報セキュリティ対策の実施状況や課題等を把握し、またSECURITY ACTION制度に取り組むきっかけや効果、またSECURITY ACTION制度および関連施策における課題を取りまとめました。

  1. 注釈1:
    SECURITY ACTION制度について
  2. 注釈2:
    「2018年度SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」報告書について

アンケート結果(主なポイント)

(1) SECURITY ACTION宣言のきっかけは補助金申請が大半ではあるものの、情報セキュリティ対策の意欲を後押ししている。

「補助金を申請する際の要件となっていた」が75.1%と最も高く、大半を占めています。次いで「情報セキュリティに係る自社の対応を改善したいと考えていた」が24.4%、「事業拡大や顧客開拓、取引先からの信頼を高める手段として有用と考えた」が16.6%と、SECURITY ACTION宣言が自社の情報セキュリティ対策の意欲を後押ししているようにも考えられます。

  • 図1:SECURITY ACTION宣言を行おうとしたきっかけ(調査報告書p21 図4-13)

(2) SECURITY ACTION宣言事業者の約40%が意識向上や取引先からの信頼性向上等の効果を感じている。

回答者の40%は効果があったと回答している。最も多いのは「経営層の情報セキュリティ対策に関する意識の向上」(23.0%)、「従業員による情報管理や情報セキュリティに関する意識の向上」(22.8%)、「取引先からの信頼性の向上」(13.2%)と続いています。

  • 図2:SECURITY ACTION宣言による効果(調査報告書p22 図4-14)

効果の具体例としては、経営層や従業員の情報セキュリティに対する意識向上により社内でのセキュリティソフト導入のきっかけになった、SECURITY ACTIONロゴマークを名刺に記載、またSECURITY ACTION宣言を社内にお知らせしたことで、意識向上につながっているなどの効果を実感している事業者も見られました。
その他、取引先からのセキュリティ調査などでの信頼向上、新規得意先の獲得に役立ったなどの対外的な効果を挙げられている例がありました。

(3) SECURITY ACTION宣言が継続的な情報セキュリティ対策への取り組みを後押ししている。

1年以内に実施した、あるいは1年以内に実施を予定している情報セキュリティ対策について質問しました。結果、いずれの対策も実施しない(18.3%)、わからない(19.8%)を除くと、回答者の60%以上の事業者が、いずれかの対策を実施しているとの回答を得ました。中でも「従業員に対する情報セキュリティ対策ルールの教育」が30.7%と最も高く、次いで「クラウドサービスやウェブサイトで利用している外部サービスの安全性、信頼性の確認」が24.1%となっています。

  • 図3:1年以内に実施した、あるいは1年以内に実施を予定しているセキュリティ対策(調査報告書p27 図4-16)

補助金申請がきっかけのSECURITY ACTION宣言事業者を含めても、情報セキュリティ対策を1年以内に実施、あるいは1年以内に実施を予定しているが60%を超えており、SECURITY ACTION自己宣言することが継続的な情報セキュリティ対策に対する意識向上につながっていると考えられます。

(4) 情報セキュリティ対策を進める上での問題点は依然として人員と知識不足

情報セキュリティ対策を進める上での問題点は、「情報セキュリティ対策を行うための人員が不足している」が38.6%と最も高く、次いで「情報セキュリティ対策の知識をもった従業員がいない」が33.3%、「従業員の情報セキュリティに対する意識が低い」が31.9%となっています。

  • 図4:情報セキュリティ対策を進める上での問題点(調査報告書p31 図4-20)

依然として情報セキュリティに関する人材や知識不足から、対策の実施に苦労されている事業者も多く見られます。特に一つ星宣言事業者に向けては、従業員教育に活用できるツール、情報セキュリティ対策を進める際に参考となるガイドラインなどの拡充に加え、取り組み段階に応じて閲覧をナビゲートするなどの提供方法の工夫も必要なことが再確認されました。

調査概要

調査手法

ウェブによるアンケート調査

調査対象

SECURITY ACTION宣言事業者

調査期間

2024年1月15日~2024年2月13日

有効回答数

5,577件

報告書のダウンロード

お問い合わせ先

(お問い合わせの他、ご意見、ご感想などもお寄せください。)

IPA セキュリティセンター

  • E-mail

    security-action-infoアットマークipa.go.jp