top of page

【CSIJコラム30(2025,3,31)】

「中小企業におけるセキュリティ対策の実態と指針」

 

株式会社ラック
田中 伶佳​

 まだ寒さが残り、3月に入っても雪がちらほら降ることにとても驚きを感じています。このような環境の変化により、皆様の体調などに影響は出ていませんでしょうか。
 さて、私が日々セキュリティに関する情報収集を行っている中で、「環境の変化」として感じていることを掲載させていただきます。

 

 情報収集を行っているなかでよく目にするようになったのは、中小企業に関連しているニュース(セキュリティインシデント等)や、中小企業を対象としたガイドラインについての情報です。また、サプライチェーンや委託先を狙い、取引先企業に影響や被害を与えることを目的とした攻撃も目にすることから、中小企業においてもセキュリティ対策が重要であることを感じました。このような状況から、中小企業においてもさらなるセキュリティ対策が必要ではないかと考えています。

 

 先日、IPA(情報処理推進機構)より、「2024年度中小企業における情報セキュリティ対策の実態調査報告書」(※1)の速報版が公開されました。この調査はサプライチェーンを構成する中小企業4149社を対象に、情報セキュリティ対策の取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査したものです。以下に興味を引いた結果を紹介します。

 

  • サイバーインシデントにより取引先に影響があった企業は約7割

2023年度にサイバーインシデントの被害を受けたと回答した企業(n=975)のうち、約7割が「サイバーインシデントにより取引先に影響があった」と回答しました。
影響があったと答えた企業のうち、「取引先にサービスの停止や遅延による影響が出た」との回答は36.1%、「個人顧客への賠償や法人取引先への補償負担の影響が出た」との回答が32.4%、「原因調査・復旧に関わる人件費等の経費負担があった」との回答も23.2%でした。
この結果からも、一部組織のセキュリティ対策の不備が、取引先やサプライチェーン全体に深刻な影響を及ぼすことがわかります。

  • 過去3期において情報セキュリティ対策投資を行っていない企業は約6割

過去3期の情報セキュリティ対策投資について、62.6%の企業が「情報セキュリティ対策投資をしていない」と回答しました。情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない(44.3%)」が最も多く、「費用対効果が見えない(24.2%)」、「コストがかかりすぎる(21.7%)」が続いています。
また、同調査の結果、約7割の企業が組織的なセキュリティ体制が整備されていないと回答したようです。

 以上の調査結果より、多くの中小企業がサイバーインシデントの被害を受けており、取引先等へ影響が出ていることがわかります。しかし、その一方で、多くの中小企業で情報セキュリティ対策の投資が行われておらず、さらに「セキュリティ対策の必要性を感じていない」と答える企業が多くいることに驚きました。このことから、我々セキュリティベンダーからも、より一層セキュリティ対策の必要性を伝えることが重要だと感じました。

 中小企業がセキュリティ対策の実施状況を改善する方針を決めるにあたって、何を参考にすれば良いのでしょうか。多くの企業がセキュリティ対策を始める際に、「何から始めたらよいか」わからないという声を多く耳にします。そのような課題をお持ちの方にまず見てほしいガイドラインやガイドブックを紹介します。

  • IPA「中小企業の情報セキュリティ対策ガイドライン(2024年)」(※2)

個人事業主、小規模事業者を含む中小企業の利用を想定されたガイドラインで、情報セキュリティ対策に取り組む際の、経営者が認識し実施すべき指針、社内において対策を実践する際の手順や手法をまとめたものです。情報セキュリティ対策の実施に活用できるドキュメント類8つが付録されており、ガイドラインに沿った対策にすぐに取り組める形となっています。

  • 東京都産業労働局「中小企業向けサイバーセキュリティ対策の極意(2025年1月)」(※3)

 中小企業の経営者や責任者に向けて作成された小冊子で、サイバー攻撃の現状と実施すべきサイバーセキュリティ対策の概要を、できるだけわかりやすく解説しています。ケーススタディーやサイバー攻撃対策シミュレーションなどが漫画で示されており、インシデントの発生や発覚、対応の流れがとても理解しやすくなっています。
 また、このガイドブックが掲載されている「中小企業向けサイバーセキュリティ対策の極意 ポータルサイト」では、脅威情報やナレッジベースの提供も行っているため、様々な場面で活用できると考えられます。

  • NIST(アメリカ国立標準技術研究所)「Cybersecurity Basics(2024年)」(※4)

 NISTから公開されている「Digital Identity Guidelines」の技術情報を、中小企業のオーナーやマネージャー向けに、一連の簡潔なガイドラインとしてまとめたものです。企業のサイバーセキュリティを強化するうえで、基本的な手順が示されています。
 また、このガイドラインが掲載されている「Small Business Cybersecurity Corner」では、クイックスタートガイドやイベント情報、セキュリティ対策の学習に利用できるコンテンツの紹介も行っています。

  • CSAJC(日本クラウドセキュリティアライアンス)「中小企業向けゼロトラストガイダンス(2025年2月)」(※5)

 アイデンティティアクセス管理(IAM)アーキテクト、ゼロトラスト・アーキテクト、セキュリティ・オペレーション・チーム(SOC)を対象読者としているガイダンス資料です。このガイダンスでは、ゼロトラストのためのアプローチとして「コンテキストベースアクセス制御(CABC)」を紹介しています。CABCを適用する方法だけでなく、成熟度レベルでの評価や、フィードバックによる改善、AIによる強化の方法を学ぶことができます。

 

 ※( )内の日時は最終更新時期を示す

 

 また、先日CSIJでも、「セキュリティ体制版正式版」として、企業規模に応じたセキュリティのベースラインを公開いたしました。中小企業含め、各企業が段階的に対策を進める道筋の提示を行っていますので、セキュリティ対策の改善方針決定に活用いただければと思います。

 

 さらに、セキュリティ対策の第一歩として、セキュリティ対策の実施状況を把握する際に活用できるフレームワークを無償で提供しています。Webアンケートに回答すると、評価結果をレポートで確認できます。中小企業含め、様々な企業で利用いただける内容となっておりますので、対策の実施前や実施後に、ぜひご活用ください。

 

[参考URL]
※1 https://www.ipa.go.jp/pressrelease/2024/press20250214.html
※2 https://www.ipa.go.jp/security/guide/sme/about.html
※3 https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/#page1
※4 https://www.nist.gov/itl/smallbusinesscyber/cybersecurity-basics
※5 https://www.cloudsecurityalliance.jp/site/?page_id=1167
 

bottom of page