「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について

中小企業にとって効果的なサイバーセキュリティの取組

背景・目的

近年、サプライチェーン上の弱点を狙って、攻撃対象への侵入を図るサイバー攻撃が顕在化・高度化しています。サプライチェーンを構成する中小企業等がサイバー攻撃に対する対策が不十分である場合、当該企業等の事業活動に支障が生じ得ることに加えて、重要情報の流出や、製品/サービスの供給停止など、取引先事業への影響や、当該企業を踏み台にして取引先が攻撃されるおそれ等があります。

このような状況を踏まえ、中小企業等におけるサイバーセキュリティ対策の実態及び課題等を明らかにし、中小企業等における規模・業種等に応じた効果の高いサイバーセキュリティ対策の分析・整理することを目的に本調査を実施しました。

IPAでは、2016年度と2021年度に「中小企業における情報セキュリティ対策に関する実態調査」を実施しています。今回の「2024年度中小企業等実態調査」は、「2021年度調査」の後続となる調査です。

概要

本調査では、全国の中小企業4191社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査しました。前回公表した速報版（2025年2月14日）（注釈）では、サプライチェーン全体でのサイバーセキュリティの不備が、取引先にも深刻な影響を及ぼしていることを報告しました。今回公表する資料では、「2024年度中小企業等実態調査」全体の報告書を取りまとめるとともに、中小企業が実際に行っている対策や効果が見られた対策のポイントを報告します。

• 2024年度中小企業における情報セキュリティ対策に関する実態調査報告書（全体版）(PDF:5.5 MB)

• （注釈）速報版（2025年2月14日）

今回報告のポイント

1. OSやウイルス対策ソフトの最新化を実施している企業は約7割
2. 情報セキュリティ対策実施によりサイバーインシデント被害が低減した
3. 1割強の企業が取引先から情報セキュリティ対策の要請を受けている
4. セキュリティ体制を整備している企業の約6割が、取引につながった
5. 第三者認証を取得している企業の約7割が、取引につながった

1.OSやウイルス対策ソフトの最新化を実施している企業は約7割

「5分でできる！情報セキュリティ自社診断（注釈）」（以下「自社診断」）の25項目について、「実施している」及び「一部実施している」を合わせた割合は「パソコンやスマホなど情報機器のOSやソフトウェアは常に最新の状態にしていますか？」（73.0%）が最も高く、次いで「パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしていますか？」（71.4%）でした。基本的なセキュリティ対策はある程度定着していることがうかがえます。一方、低かったのは「新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか？」（37.9%）、次いで「情報セキュリティ対策（上記1～24など）をルール化し、従業員に明示していますか？」（39.2%）、「セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか？」（39.8%）でした。組織的に取り組む必要のあるセキュリティ対策が進んでいないことがうかがえます。（図1）

• （注釈）5分でできる！情報セキュリティ自社診断

2.情報セキュリティ対策実施によりサイバーインシデント被害が低減した

「自社診断」の25項目を「実施している…4点」「一部実施している…2点」「実施していない…0点」「わからない…－1点」で点数化し、25項目の対策状況を採点したところ、合計点が高い企業ほどサイバーインシデントによる影響を「特になし」と回答した割合が高い傾向が見て取れます。（図2）情報セキュリティ対策の実施により、サイバーインシデント被害（影響）の低減が期待されます。

3.1割強の企業が取引先から情報セキュリティ対策の要請を受けている

発注元企業から情報セキュリティに関する要請を受けた経験がある企業の割合は1割強でした。（図3）要請された内容は、8割が「秘密保持のための措置」（79.6%）でした。（図4）要請された対策の実施に向けての課題は、「対策費用（具体的な対策と費用）の用意、費用負担の検討」（51.3%）が最も多く、次いで「情報セキュリティ対策に関する販売先（発注元企業）との契約内容の明確化」（47.0%）、「専門人材の確保・育成」（32.9%）でした。コストや人材不足が課題となっていることがうかがえます。（図5）

質問：貴社は販売先（発注元企業）から貴社への情報セキュリティに関する要請を受けた経験はありますか。（SA）

質問：販売先（発注元企業）から貴社への情報セキュリティに関する要請の具体的な内容について教えてください。（MA）

質問：貴社で販売先（発注元企業）から情報セキュリティ対策の要請を受けた場合に、対策の実施に向けての課題となることについて教えてください。（MA）

4.セキュリティ体制を整備している企業の約6割が、取引につながった

取引先（発注元企業）から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、セキュリティ体制の整備がされている（専門部署（担当者）がある）企業の59.8％が、発注元からの要請でサイバーセキュリティ対策を行ったことが取引につながったと回答しているのに対し、セキュリティ体制の整備がされていない（セキュリティ対策は各自の対応に任せている）企業は24.2%に留まっています。取引先から要請を受けた企業側の担当者の実感として、セキュリティ体制が整備されている企業の方が、対策の実施が取引上の信頼を得るための重要な要素であることを示しています。（図6）

質問：貴社は販売先（発注元企業）から要請された情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因だと思いますか。（SA）

5.第三者認証を取得している企業の約7割が、取引につながった

取引先（発注元企業）から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、ISMS取得済みの企業の73.9％が、発注元からの要請でサイバーセキュリティ対策を行ったことが取引につながったと回答しているのに対し、ISMS未取得の企業は30.3%に留まっています。取引先から要請を受けた企業側の担当者の実感として、サイバーセキュリティ対策に関する第三者認証を取得している企業の方が、対策の実施が取引上の信頼を得るための重要な要素であることを示しています。（図7）

質問：貴社は販売先（発注元企業）から要請された情報セキュリティ対策を行ったことが取引先との取引につながった大きな要因だと思いますか。（SA）

調査の実施概要

報告書等のダウンロード

• 2024年度中小企業における情報セキュリティ対策に関する実態調査報告書(PDF:5.5 MB)
• 調査報告書概要説明資料(PDF:1.8 MB)
• アンケート調査結果のローデータ(Excel:4.0 MB)
• 業種ごとの効果的な取組事例集(PDF:1.6 MB)