IPA(情報処理推進機構)は3月31日、「2021年度 中小企業における情報セキュリティ対策に関する実態調査」に関する報告書を発表した。IPAは2016年に「中小企業における情報セキュリティ対策に関する実態調査」を実施。今回の調査は2016年の後続となる調査だ。その結果、この5年間で情報セキュリティ対策の実施状況の改善はわずかであり、依然として課題は多いことが分かった。
過去3期における「IT投資」の状況については、「投資を行っていない」と回答した企業は30%だった。また、過去3期の「情報セキュリティ対策投資」についても「投資を行っていない」と回答した企業は33.1%。「IT投資」については前回調査(47.7%)と比較すると17.7%の改善と考えることができ、ITの導入・活用が中小企業においても一定程度、進んでいる様子がうかがえる。
-
「直近過去3期のIT投資額」(左)と「直近過去3期の情報セキュリティ対策投資額」(右) 出典:IPA
情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない」の割合が最も多く40.5%で、「費用対効果が見えない(24.9%)」、「コストがかかりすぎる(22.0%)」が続く。なお、中小企業(101人以上)の「その他」の割合が高いところ、これには「親会社が投資しているため自社負担がない」といった趣旨の回答が多くあったという。
-
情報セキュリティ対策投資を行わなかった理由(企業規模別) 出典:IPA
また、被害防止のための組織面・運用面の対策の実施状況について、前回調査の結果と比較すると、大半の項目で対策実施の割合が増加した。特に、「情報セキュリティ対策の定期的な見直し」については17.4%と前回調査(5.6%)から10%以上増加した。
-
被害防止のための組織面・運用面での対策(2016年調査比較) 出典:IPA
しかし、情報セキュリティ関連製品やサービスの導入状況について、「VPN」の導入については17.1%と前回調査(11.9%)から5.2%増加しているものの、その他の情報セキュリティ関連製品やサービスについては前回調査と大きな差がない状況となっている。
-
情報セキュリティ関連製品やサービスの導入状況(2016年調査比較) 出典:IPA
2020年度の1年間に情報セキュリティ被害にあったか否かを聞いた設問では、84.3%が「被害にあっていない」と回答。何らかの被害にあった企業は5.7%で、最も多い回答は「コンピュータウイルスに感染(2.7%)」だった。
-
2020年度における情報セキュリティ被害の有無 出典:IPA
また、コンピュータウイルスの被害を認識している企業のうち、想定される侵入経路は「電子メール」の割合が最も高く62.2%で、「インターネット接続(ホームページ閲覧など)(45.9%)」、「自らダウンロードしたファイル(23.4%)」と続いた。
-
感染あるいは発見したコンピュータウイルスの想定される侵入経路 出典:IPA
