サイバーセキュリティへの危機意識と取り組みにズレ
中小企業の施策は遅れ気味、負荷軽減や投資の考え方もポイントに
―　「勤務先のサイバーセキュリティ調査」より　―

2022年5月27日

株式会社日経BPコンサルティング（東京都港区）はこのほど、「勤務先のサイバーセキュリティ調査」を実施した。企業活動のデジタル化が加速しサイバー攻撃が激しくなる中で、企業等の情報システム部門やその他部門の勤務者が、勤務先のサイバーセキュリティに対して、どのように認識し、取り組みを行っているかを調べたものである（調査概要は下部参照）。

調査によると、（1）サイバー攻撃への懸念を感じながら、取り組みは十分とは言えないこと、（2）中小企業の施策がやや遅れていること、（3）サイバーセキュリティへの対応や運用の負荷が大きいこと、（4）セキュリティ投資への考え方は企業規模により差があること、などが浮かび上がった。

サイバー攻撃に87％が懸念を覚えるも、対策が「できている」は62％にとどまる

勤務先のシステムに対するサイバー攻撃に対して、回答者の大半87.0％が懸念を感じていた（図1）。5段階評価で、「とても感じている」が32.3％、「ある程度感じている」が54.7％である。その一方で、勤務先のサイバーセキュリティ対策について、「とてもできている」はわずか5.0％にすぎなかった。「ある程度できている」は57.0％に上るものの、合わせても62.0％にとどまる。サイバー攻撃に懸念を感じながらセキュリティ対策は十分ではない、あるいは対策が不十分なことから懸念を感じるという企業関係者が少なくない。

図1. 勤務先のサイバーセキュリティに対する認識

• 
  

• 
  

  n=300

中小企業は意識より取り組みで、大企業との差が大きい

サイバー攻撃への危機意識は、大企業の方がやや強い。しかしながら、中小企業（本調査では従業員11～300人規模とした）でも、82.0％が懸念を感じている（図2）。これに対して、自社の取り組みに対する評価は、企業規模による差がより大きい。中小企業では、サイバーセキュリティ対策が「できている」という回答者は、52.7％にとどまる。大企業・中堅企業（71.3％）に比べると、20ポイント近く低い。

中小企業の取り組みの遅れは、現在実施している具体的なセキュリティ対策の設問からも浮かび上がった。「ウイルス対策（PC）」こそ、企業規模を問わず、ほぼすべて（97.3％）の企業が実施しているが、その他の対策は大企業・中堅企業と中小企業で10～30ポイントほどの差があった（図3）。

図2. 企業規模別に見たサイバーセキュリティへの認識

※四捨五入の関係で、本文記載の数値とグラフ各項目の記載数値の合計が一致しないことがある（以下のグラフも同様）。

図3. 勤務先で現在実施しているサイバーセキュリティ対策

セキュリティ被害は3割以上が経験、ランサムウエアが最多

企業に対するサイバー攻撃は弱まる気配を見せない中、本調査の回答者でも32.7％が、「勤務先がサイバー攻撃の被害を受けたことがある」とした（図4）。被害経験がある回答者に攻撃の種類を尋ねると、PCなどの端末をロックするなどして身代金を要求する「ランサムウエア」が54.1％で最多だった。「マルウエア」という回答も多く、42.9％で続いた。被害の種類を企業規模別に見ると、サンプル数がより少なく参考値扱いではあるが、大企業・中堅企業、中小企業のいずれにおいても、ランサムウエアが50％台で最多だった。

図4. サイバー攻撃の被害経験と受けた攻撃の種類

ランサムウエアへの認知は浸透したが、明確な対策を打てていない

攻撃の中心となっている「ランサムウエア」に対して、企業関係者はどのように認識しているのか。今回の調査回答者のうち、99.0％がランサムウエアという言葉を、86.7％がその内容（概要以上）を知っているとした（図5）。さらにその理解度を確認するため、ランサムウエアに対する正誤混在した選択肢を提示して適切なものを選んでもらったところ、平均で8割程度の正答率だった（知らない、分からないとした人を除く）。ランサムウエアに対する認知はかなり進み、理解も完全とは言えないがある程度進んだと言えそうだ。

その一方で、サイバーセキュリティ対策として「ランサムウエア対策」を実施していると明確に答えたのは、先ほどの図3にあるように43.3％にとどまった。この点でも、リスク認識と施策のズレが生じている。ランサムウエア対策の実施率は、中小企業ではより低く33.3％にとどまった。大企業・中堅企業と20ポイントの差がある。

図5. ランサムウエアに対する認知

セキュリティ対策の実施以上に、感染時の対応や、前段階の戦術立案ができていない

企業のサイバーセキュリティ対策の課題を確認するため、セキュリティ対策・対応を３フェーズに分けて、どの程度できているか（もしくは、できるか）を確認した。「サイバー攻撃への適切な防御策を導入すること」という対策自体は「できている」が55.0％だった（図6）。これに対して、「感染や侵入後に、適切な対応作業を行うこと」は「できている」がやや減少して49.3％。さらに、「適切な戦術を立案したりソリューション選定を行うこと」は、「できている」が36.3％にとどまった。つまり企業関係者は、サイバーセキュリティ対策において、どのような道具を利用してどのように立ち向かうかに自信を持てていない状況である。

企業規模別にみると、3フェーズいずれも、大企業・中堅企業に比べて、中小企業の自己評価が低い結果となった。特に「適切な戦術を立案したりソリューション選定を行うこと」は、中小企業では「できていない」が40.7％と、「できている」（25.3％）を上回った。

図6. サイバーセキュリティ対策のフェーズ別の実現度

n=300

企業規模別結果

今後は対策負荷を減らしシンプルに。
大企業は強度を高めたい、中小企業はお金をかけられない

企業のサイバーセキュリティ対策の今後についても、いくつかの設問で方向性を尋ねた。「セキュリティ対策の業務負荷を減らしたい」は72.3％が、「セキュリティ対策をシンプルにしたい」は81.0％が肯定した（図7）。現在の企業にとって、セキュリティ対策は欠かせない業務だが、負担感をかなり感じているのだろう。こうした負担感は大企業の方がより強いが、中小企業でも過半数が抱えている。

もう1点、今回の調査で特徴的だったのは、セキュリティ対策の強度と投資の関係である。「よりコストをかけても、セキュリティ対策の強度を高めたい」という点については、全体では47.3％が肯定したが、企業規模による差が目立った。大企業・中堅企業は62.0％が肯定した一方で、中小企業の肯定率は32.7％にとどまった。お金を多少かけてでも強度を高めたい大企業・中堅企業と、そうは言いにくい（できない）中小企業の差が表れた。なお今回の調査で、勤務先のサイバーセキュリティ対策への予算額（2022年度）は、図8の分布だった。

セキュリティ強度を高めたい大企業といえども、対策の投資対効果は強く意識している。図7にあるように、「セキュリティ対策の投資対効果を高めたい」は大企業・中堅企業で79.3％が挙げた。投資対効果の向上は、中小企業も62.7％が支持した。

図7. 今後のサイバーセキュリティ対策について

図8. サイバーセキュリティ対策の予算額（2022年度）

■「勤務先のサイバーセキュリティ調査」調査概要

• 調査名：

  勤務先のサイバーセキュリティ調査

• 調査機関：

  日経BPコンサルティング

• 調査対象：

  企業等（従業員11名以上）の情報システム部門やその他部門の勤務者で、勤務先のサイバーセキュリティへの取り組みやソリューション選定に何らか関わる人

• 調査手法：

  インターネット調査

• 調査期間：

  2022年4月14日～20日

• 有効回答数：

  300件

• 回答者属性：
  • ＜所属部署＞

    情報システム部門：47.3％、その他の部門：52.7％

  • ＜従業員数＞

    1000人超：34.0％、301～1000人：16.0％、11～300人：50.0％

日経BPコンサルティング：日経BP全額出資の「調査・コンサルティング」「企画・編集」「制作」など、コンサルティング、コンテンツ関連のマーケティング・ソリューション提供企業。（2002年3月1日設立。資本金9000万円）