2025年3月4日
労務・人事ニュース
サプライチェーンを狙う攻撃が急増、不正アクセスの48%が脆弱性を突かれる事態
中小企業の実態判明 サイバー攻撃の7割は取引先へも影響(経産省)
令和7年(2025年)2月19日、経済産業省は独立行政法人情報処理推進機構を通じて実施した「中小企業等におけるサイバーセキュリティ対策に関する実態調査」の結果を公表した。この調査は、デジタル化が進む産業界において、中小企業が直面するサイバー攻撃の脅威とその影響を明らかにする目的で行われた。その結果、国内の中小企業の約7割が組織的なセキュリティ体制を整備できていない現状が判明し、また過去3年間にサイバー攻撃を受けた中小企業の約7割が取引先にも影響を与える「サイバードミノ」の状態を引き起こしていたことが明らかになった。このような状況の中、経済産業省は「サイバーセキュリティお助け隊サービス」を活用し、安価で効果的なセキュリティ対策の導入を促進する方針を示している。
サイバー攻撃の手法は年々巧妙化しており、特にセキュリティ対策が脆弱な中小企業が標的とされるケースが増えている。たとえば、企業のデータを暗号化し、身代金を要求するランサムウェアの被害企業の約6割は中小企業であるとの報告がある。また、サプライチェーンを狙った攻撃が増加し、中小企業を経由して取引先の大企業にまで影響が波及する事例が増えている。こうした背景から、経済産業省は令和6年10月から12月にかけて全国の中小企業4,191社の経営層を対象としたウェブアンケート調査を実施し、さらに21社に対してヒアリングを行った。その結果、中小企業の情報セキュリティ対策の実態が明確になった。
調査の結果、企業の約7割が組織的なセキュリティ体制を整備しておらず、過去3期(約3年間)において情報セキュリティ対策投資を行っていない企業が約6割に上ることが判明した。これは、中小企業の多くがサイバー攻撃のリスクを軽視している、またはコストや人材不足のために十分な対策を講じることができていない現状を示している。さらに、情報セキュリティ関連製品やサービスの導入状況は微増にとどまり、セキュリティ対策の導入が広がりにくい要因として、コストの問題や対策方法の不明確さが挙げられた。
サイバー攻撃を受けた企業の被害額の平均は73万円であり、そのうち9.4%は100万円以上の被害を受けていた。また、復旧に要した期間の平均は5.8日であり、2.1%の企業では50日以上の長期間にわたり業務が停止する被害が発生していた。これにより、事業継続に深刻な影響を及ぼす可能性があることが示された。特に、不正アクセスを受けた企業の48.0%がシステムの脆弱性を突かれ、19.8%が他社を経由しての攻撃を受けていた。これは、取引先を狙ったサイバー攻撃の手口が拡大していることを意味し、中小企業がセキュリティ対策を怠ることで、サプライチェーン全体にリスクが広がる可能性があることを示唆している。
また、サイバーインシデントの影響は自社にとどまらず、取引先へも波及していることが分かった。被害を受けた中小企業の約7割が、取引先にも業務停止やデータ流出などの影響を及ぼしており、こうした状況が「サイバードミノ」と呼ばれるサプライチェーン全体のリスク拡大を招いている。このような事態を防ぐためにも、中小企業自身が積極的にセキュリティ対策を講じる必要がある。
一方で、セキュリティ対策への投資がビジネス機会の拡大にもつながることが明らかになった。調査結果によると、サイバーセキュリティ対策に投資を行っている企業の約5割が、取引先との契約につながったと実感している。つまり、セキュリティ対策を強化することが、単なるコストではなく、新たなビジネスチャンスの創出にも寄与するという実態が示された。
こうした調査結果を踏まえ、経済産業省では「サイバーセキュリティお助け隊サービス」の導入を推進し、コストを抑えながら中小企業が効果的なセキュリティ対策を実施できるよう支援する方針を発表した。このサービスは、サイバーセキュリティの専門家が中小企業のセキュリティ対策をサポートするものであり、導入企業の5割以上が「セキュリティ対策の導入が容易」と回答し、3割以上の企業が「費用対効果を実感している」としている。
さらに、政府は「サイバーセキュリティ月間」の実施に合わせて、中小企業向けのリーフレットを作成し、基本的なセキュリティ対策の必要性と実施方法についての情報提供を強化する方針を打ち出した。このリーフレットには、具体的な対策のポイントや支援策が掲載されており、中小企業の経営者や実務担当者がセキュリティ対策の第一歩を踏み出しやすいように設計されている。
また、経済産業省のウェブサイトも改修され、企業の属性に応じた情報提供が強化された。特に、「何をすればよいか分からない」「十分なコストをかけられない」といった課題を抱える中小企業向けに、必要最低限のセキュリティ対策を効率的に導入できる手法が紹介されている。これにより、企業ごとに適したセキュリティ対策を選択できるようになり、サイバーリスクの低減につながることが期待される。
⇒ 詳しくは経済産業省のWEBサイトへ
