情報セキュリティ
公開日:2024年4月9日
最終更新日:2024年4月10日
独立行政法人 情報処理推進機構
セキュリティセンター
IPAでは、2017年4月から中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度である『SECURITY ACTION(注釈1)』の運用を開始し、多くの中小企業が情報セキュリティ対策を実践しています。2023年10月には、SECURITY ACTION自己宣言を行った事業者(以下「宣言事業者」という。)は30万者を突破しており、制度への関心の高さがうかがえます。一方で、2018年度の調査(注釈2)では、SECURITY ACTION自己宣言を行おうとしたきっかけの多くが補助金取得であり、継続的にセキュリティ対策に取り組む意識が低い可能性が考えられます。
本調査は宣言事業者を対象としたアンケート調査を実施し、情報セキュリティ対策の実施状況や課題等を把握し、またSECURITY ACTION制度に取り組むきっかけや効果、またSECURITY ACTION制度および関連施策における課題を取りまとめました。
「補助金を申請する際の要件となっていた」が75.1%と最も高く、大半を占めています。次いで「情報セキュリティに係る自社の対応を改善したいと考えていた」が24.4%、「事業拡大や顧客開拓、取引先からの信頼を高める手段として有用と考えた」が16.6%と、SECURITY ACTION宣言が自社の情報セキュリティ対策の意欲を後押ししているようにも考えられます。
回答者の40%は効果があったと回答している。最も多いのは「経営層の情報セキュリティ対策に関する意識の向上」(23.0%)、「従業員による情報管理や情報セキュリティに関する意識の向上」(22.8%)、「取引先からの信頼性の向上」(13.2%)と続いています。
効果の具体例としては、経営層や従業員の情報セキュリティに対する意識向上により社内でのセキュリティソフト導入のきっかけになった、SECURITY ACTIONロゴマークを名刺に記載、またSECURITY ACTION宣言を社内にお知らせしたことで、意識向上につながっているなどの効果を実感している事業者も見られました。
その他、取引先からのセキュリティ調査などでの信頼向上、新規得意先の獲得に役立ったなどの対外的な効果を挙げられている例がありました。
1年以内に実施した、あるいは1年以内に実施を予定している情報セキュリティ対策について質問しました。結果、いずれの対策も実施しない(18.3%)、わからない(19.8%)を除くと、回答者の60%以上の事業者が、いずれかの対策を実施しているとの回答を得ました。中でも「従業員に対する情報セキュリティ対策ルールの教育」が30.7%と最も高く、次いで「クラウドサービスやウェブサイトで利用している外部サービスの安全性、信頼性の確認」が24.1%となっています。
補助金申請がきっかけのSECURITY ACTION宣言事業者を含めても、情報セキュリティ対策を1年以内に実施、あるいは1年以内に実施を予定しているが60%を超えており、SECURITY ACTION自己宣言することが継続的な情報セキュリティ対策に対する意識向上につながっていると考えられます。
情報セキュリティ対策を進める上での問題点は、「情報セキュリティ対策を行うための人員が不足している」が38.6%と最も高く、次いで「情報セキュリティ対策の知識をもった従業員がいない」が33.3%、「従業員の情報セキュリティに対する意識が低い」が31.9%となっています。
依然として情報セキュリティに関する人材や知識不足から、対策の実施に苦労されている事業者も多く見られます。特に一つ星宣言事業者に向けては、従業員教育に活用できるツール、情報セキュリティ対策を進める際に参考となるガイドラインなどの拡充に加え、取り組み段階に応じて閲覧をナビゲートするなどの提供方法の工夫も必要なことが再確認されました。
ウェブによるアンケート調査
SECURITY ACTION宣言事業者
2024年1月15日~2024年2月13日
5,577件
(お問い合わせの他、ご意見、ご感想などもお寄せください。)
IPA セキュリティセンター