ビジネス的に「セキュリティ対策はやった方がお得」　IPAが中小企業の実態調査：セキュリティニュースアラート

基本的な対策の実施率は7割、一方で組織的な対策は不足

　調査結果によると、「情報機器のOSやソフトウェアの最新化」（73.0％）、「ウイルス対策ソフトの導入と定義ファイルの更新」（71.4％）といった基本的な対策はおおむね浸透しているようだ。

　しかし「新たな脅威や攻撃の手口に関する情報の社内共有」（37.9％）、「情報セキュリティ対策のルール化と従業員への明示」（39.2％）、「セキュリティ事故発生時に備えた対応体制の整備」（39.8％）といった組織的な対策の実施率は低く、対策の深化には課題が残る結果となった。

セキュリティ対策が被害軽減に寄与

　IPAは25項目で構成される「自社診断」を基に対策状況を点数化し、サイバーインシデントとの関連を分析した。その結果、点数が高い企業ほどインシデントによる影響を「特になし」と回答する割合が高く、対策の実施と被害軽減との関連が示唆される結果となった。

取引先からの要請と対応の実態

　発注元企業から情報セキュリティ対策に関する要請を受けた中小企業は1割強だった。要請内容としては「秘密保持のための措置」（79.6％）が最多で、課題としては「対策費用（具体的な対策と費用）の用意、費用負担の検討」（51.3％）、「情報セキュリティ対策に関する販売先（発注元企業）との契約内容の明確化」（47.0％）、「専門人材の確保・育成」（32.9％）が挙がった。コストや人材不足が課題となっていることが明らかになった。

セキュリティ体制や認証取得が取引促進に影響

　取引先（発注元企業）から情報セキュリティ対策に関する要請を受けた経験がある企業のうち、セキュリティ体制が整備されている企業では59.8％が「対策実施が取引につながった」と回答しており、整備されていない企業（24.2％）を大きく上回った。また、情報セキュリティマネジメントシステム（ISMS）認証などの第三者認証を取得している企業の73.9％が「取引に結び付いた」と回答し、未取得企業（30.3％）との差がみられた。

　取引先から要請を受けた企業側の担当者の実感として、サイバーセキュリティ対策に関する第三者認証を取得している企業の方が、対策の実施が取引上の信頼を得るための重要な要素であることが示されている。

　今回の調査は、情報セキュリティ対策が中小企業の経営に及ぼす影響や、取引先との関係における重要性を定量的に示すものとなっている。IPAは引き続き、中小企業における実効性のあるセキュリティ対策の支援に取り組むとしている。