「2024年度 中小企業における情報セキュリティ対策に関する実態調査（以下、2024年度中小企業等実態調査）」とは、IPAが全国の中小企業4,191社を対象に、情報セキュリティ対策への取り組みや被害の状況などを調査したもの。同調査では「情報セキュリティ対策投資額」や「情報セキュリティ対策の必要性を感じたきっかけ」などに関するアンケートも実施されており、情報セキュリティ関連サービスを販売する営業担当者にとっても参考になる内容となっている。

そんな2024年度中小企業等実態調査の中から営業活動のヒントにもなり得る三つのポイントを解説する。

情報セキュリティ対策投資をしている企業の約半数が取引につながっている

調査では、過去に情報セキュリティ対策投資を行った企業の49.8%が「発注元からの要請でサイバーセキュリティ対策を行ったことが取引につながった」と回答する一方、投資を行っていない企業で「つながった」と回答したのは27.4%にとどまったことが分かった。

この結果から、情報セキュリティ対策への投資が企業の信頼性向上に寄与し、「取引先の獲得」という具体的な成果につながることが推測される。情報セキュリティ対策投資が、自社のセキュリティ向上だけでなく売上にも直結し得ることの裏付けとなるデータといえよう。

情報セキュリティ対策投資を行わなかった理由は「必要性を感じていない」が約半数

情報セキュリティ対策投資額について「投資をしていない」と答えた企業を対象に、その一番の理由を質問したところ、セキュリティ体制の構築について「組織的には行っていない（独自の対応）」という企業（以下、「情報セキュリティ体制が整備されてない企業」）は「必要性を感じていない（48.0%）」が最も多い回答だった。

さらに「必要性を感じていない」理由について、注目したいのが「サイバーセキュリティ被害にあうと思わないため」と回答した「情報セキュリティ体制が整備されてない企業」が24.5%にのぼること。同調査では過去3期に発生したサイバーインシデントで生じた被害額の平均が73万円（最大1億円）であり、平均復旧期間も5.8日（最大360日）であることが明らかになっている。こうした重大な被害を未然に防ぐためにも、営業員はクライアントへ、被害の実態および情報セキュリティ対策の重要性を強調しておきたい。

「経営層向けサービス」や「セキュリティ対策の可視化サービス」のニーズが一定ある

「どのような情報セキュリティ対策に関するサービスがあれば活用したいと思いますか」という質問に対しては、「経営層向けの手引書」や「経営層への教育（セキュリティ対策の重要性の理解）」といった経営層をターゲットとしたサービスに多くの回答が集まった。この結果から、例えば「経営層向けのセキュリティ対策研修」のニーズが高い可能性が示唆される。

また同調査の報告書では「セキュリティ体制が整っていない企業ほど、『中小企業のセキュリティ対策の可視化サービス』と回答する割合が増えており、担当者不在のため自社の対策状況を把握できていない実態が読み取れる」と明記している。ピンポイントでセキュリティ対策の可視化サービスを取り扱っていなくとも、クライアントのセキュリティ状況をヒアリングしたうえで、脆弱（ぜいじゃく）性や他社事例などについて解説すれば十分その代替とすることができるだろう。

ベンダーの重要な役割として、本記事で調査のポイントを踏まえ中小企業のサイバーセキュリティ対策に貢献したい。