HRプロとはデジタル・インフォメーション・テクノロジー株式会社は2021年4月7日、「中小企業のサイバー攻撃対策」に関する実態調査の結果を発表した。調査期間は2021年3月9日~10日で、従業員100名以上を擁するWeb事業者の経営者・セキュリティ担当者・情報システム部門担当者1,044名から回答を得た。これにより、企業におけるサイバー攻撃への対策や課題点などが明らかとなった。
中小企業の4割弱は自社のセキュリティが「不十分」だと感じている
さまざまな手口で行われるサイバー攻撃は巧妙化しており、新たな手法を使った攻撃は後を絶たないが、企業ではどのような対策を講じているのだろうか。はじめに、「サイバー被害に遭った場合の対応策が十分に準備できているか」を尋ねた。すると、「自社のセキュリティ対策に絶対の自信がある」が21.3%、「仮にサイバー被害にあったとしても対応策が十分に準備できている」が41.5%で、合わせて62.8%は対策ができていると回答した。
一方で、「セキュリティ対策はしているがあまり自信はない」が32.2%、「セキュリティ対策はしていない」が5%となり、合計で4割弱が「対策は不十分」だと感じていることが明らかとなった。
自由回答では「やり方がわからない」、「予算の都合がつかない」などの他、「上層部の理解がない」という答えもあり、企業経営者や役員などのサイバー攻撃に対する危機意識が問われる結果となった。
サイバー被害を受けた際の問題点は「復旧までに時間がかかる」が最多
次に、「現在の対応策について思い当たる問題点」を尋ねた。その結果、「復旧までに時間がかかりそう」が31.2%と最も多くを占めた。以降は多かった順に、「最新のシステムを常に導入できていない」が29.3%、「アクセス制限や暗号化などの対策しかできていない」が16.9%、「パターンファイルやシグネチャー運用のセキュリティソリューションに限界を感じている」が11.6%となった。また、「Webサーバがダウンした場合、経営はどの程度被害を受けるか」を尋ねると、「大きく被害を受ける」が25.5%、「多少なりとも被害を受ける」が50.8%となり、合わせて76.3%の企業が被害の大きさを懸念していた。
「サイバー攻撃を受けたことがある」企業は7割にせまる
続いて、「実際にサイバー攻撃を受けたことがあるか」を尋ねた。すると、「受けたことがある」が15.6%、「受けたことはあるが、対策をしてからは攻撃を受けても被害はない」が32.1%、「受けたことはあるが、対策をしてから攻撃を受けていない」が19.6%となり、合わせて7割弱の企業が何らかの形でサイバー攻撃を受けた経験があると回答した。さらに、「どのような被害を受けたか」を尋ねると、「Webサイトの改ざん」が43.3%と最も多い結果に。以下、「システムの破壊」が28.9%、「個人情報などの流出」が24.7%と続いた。
「ビジネス機会の損失」、「サイト復旧コスト」などの被害も
最後に、「サイバー攻撃を受けた際にどのような被害が起きたか」を尋ねた。その結果、「ビジネス機会の損失」が40.6%と最も多くを占めた。以下、「サイト復旧コスト」が35.7%、「情報漏洩」が23.6%、「損害賠償」が16.1%と続いた。また、「詳しい被害状況」を尋ねると、「システムの復旧までに1週間程かかった」、「復旧の委託により、高額な費用がかかった」「個人情報の漏洩により企業の信用問題になった」、「多額の損害賠償を支払った」といった声が聞かれ、深刻な事態に発展した場合もあったようだ。
テレワークの普及もあり、企業における不正アクセスやマルウェアの対策は、一層重要度が増している。ビジネスにマイナスのインパクトを与えるような被害とならないよう、自社のセキュリティ対策を強化していきたい。
