あらゆるサイバー攻撃が巧妙化し、件数も増加している昨今、甚大な被害を受ける企業が後を絶たない。攻撃対象は企業の規模を問わず、中小企業であっても同じことだ。

サプライチェーン攻撃では、比較的侵入しやすい中小企業から入り込み、ネットワークでつながっている大企業にまで被害が広がることもある。中小企業は自社のデータを守ることと、もしサプライチェーンでつながる企業があればネットワーク全体のセキュリティに責任を持つ覚悟で対策を講じる必要がある。

IPAでは、2016年度と2021年度に「中小企業における情報セキュリティ対策に関する実態調査」を行い、その後続として「2024年度中小企業等実態調査結果」をリリースした。同調査では、全国の中小企業4,191社を対象としてWebアンケートを実施し、情報セキュリティ対策の取り組みや被害状況などを調査している。

2023年にサイバー攻撃の被害を受けたと回答した企業数は975社。そのうち35.7%でデータの破壊、35.1％は個人情報の漏えいが発生している。過去3期に生じたサイバーインシデントの平均被害額は73万円。100万円以上の被害が生じた企業は9.4%で、最大で1億円にも及ぶ。さらに3期で10回以上の被害にあった企業は1.7%。中には40回も被害を受けた企業もあった。復旧までに要する期間の平均は5.8日で、50日以上要した企業は2.1％。最大で360日もかかっている。

ニュースで大きく取り上げられるサイバーインシデントは大企業のものが目立つが、中小企業もかなりの攻撃に遭っていることが調査結果に表れている。

被害を受けた975社のうち、約7割は取引先にも影響があったという。取引先のサービスに停止や遅延の影響が出たり、個人顧客への賠償、法人取引先への補償負担が必要になったりとさまざまなケースが挙げられている。

同調査では、不正アクセスの約5割が脆弱（ぜいじゃく）性を突かれたもの、他社経由での侵入が約2割と回答している。

また、IPAが2025年7月に公開した「中小企業サイバー攻撃被害事例収集等業務 実施報告書」には、メールによる被害とホームページの改ざんという観点から実際のサイバー攻撃実例が紹介されている。

中小企業で組織的なセキュリティ対策がとられているか、という問いについては、組織的対策はとらず各自の対応としている企業が増加しており、約7割の企業は組織的にセキュリティ体制が整備されていない状況だ。

直近3期で情報セキュリティ対策の投資を行っていない企業は62.6%で、2016年度の55.2%、2021年度の33.1%よりも増加している。

対策投資を行っていないのには、「必要性を感じていない」「費用対効果が見えない」「コストがかかりすぎる」といった理由が多い。

しかしながら、取引先から要請され、セキュリティ対策投資を行った企業では約5割が取引につながったと回答している。

組織的な対策をとらない企業が増えているということは、経営者、従業員ともにセキュリティへの意識が低下しているともいえる。攻撃の対象となるのは大企業だけではないこと、自社が被害に遭うと取引先にも迷惑がかかる可能性があること、自社の信用が失われかねないことをあらためて認識することが大切だ。

自社にセキュリティ専門社員がいない場合、中小企業はセキュリティに関する相談をどこにすべきかを把握していないケースもある。 また、公的なサイバーセキュリティに関する無料相談窓口を事前に調べておくと良いだろう。

セキュリティ対策費用の捻出については、既存システムを見直して無駄を省き、セキュリティソリューションを導入する、または、サイバー保険への加入などが考えられる。

ベンダーは、セキュリティ製品を販売して終わりにするのではなく、不安に思う企業があれば相談できる体制を整えておきたい。