中小企業のサイバーセキュリティルール、違反経験を従業員4割超は報告せず

サイバーセキュリティに関するルールを決めている企業もあるかと思いますが、独立行政法人情報処理推進機構(IPA)の調査で、勤務先の中小企業で情報管理関連のルールが制定されている人のうち、5人に1人はルール違反の経験があり、うち4割以上は会社や上司に1度も報告していないことが判明しました。今回は、同調査に基づいて、中小企業におけるサイバーセキュリティの実態に迫っていきます。

アンケートは、情報処理推進機構(IPA)が全国の中小企業に勤務する人1,000名を対象に、2021年11月5日～11月7日にインターネット調査で実施しました。

(※アンケート結果の数値は小数点以下を適宜四捨五入して表示しているため、積み上げ計算すると誤差がでる場合があります)

(以下、情報処理推進機構(IPA)調べ)

【関連記事】「実は危険！ SNSの個人アカウントを社用で利用するリスク」

1.中小企業従業員の10.5%がサイバーセキュリティ上の事故やトラブルを経験

調査によると、過去3年間(2018年10月～2021年9月)の間、サイバーセキュリティ上の事故やトラブルを経験した中小企業従業員は10.5%で、トラブル1位は「ウイルス・ランサムウェアによる被害」、2位は「取引先を装った偽メールによるウイルス感染」 と、ウイルス関連が上位となっています。

(【画像出典】情報処理推進機構(IPA)プレスリリース)

サイバーセキュリティ上の事故やトラブルが発生した回数は、2018年が平均2.8回、2019年が平均1.0回、2020年が平均0.6回、2021年(1月～10月)が平均1.4回、トータルの年平均は1.4回という結果になりました。

(【画像出典】情報処理推進機構(IPA)プレスリリース)

一方で、上記のサイバーセキュリティ上の事故やトラブルに関して、勤務先が社外への公表・公開等(プレスリリースや、HP等への掲載等で)を行ったと答えた中小企業従業員は「複数回ある」18.1%、「1回ある」22.9%で計41.0%でした。

(【画像出典】情報処理推進機構(IPA)プレスリリース)

【関連記事】「自宅のWi-Fiも危険!? 無防備な無線LANから情報漏えいするリスクとは!?」

2.IT機器の利用やデータの取り扱い、ルールが制定されている中小企業従業員は半数以下の42.7%

勤務先の中小企業のIT機器やデータの取り扱いに関連する情報管理のルールについて聞いたところ、ルールが制定されていると回答したのは全体の42.7%で、6割近くはルールが制定されていない、またはルールの有無を認識していないという結果になりました。

(【画像出典】情報処理推進機構(IPA)プレスリリース)

勤務先の中小企業に情報管理関連のルールがあると回答した人のうち、過去3年間(2018年10月～2021年9月)でそのルールに違反を犯したことがある人は19.0%で、そのうち多くの人が複数回にわたってルール違反をしていました。

(【画像出典】情報処理推進機構(IPA)プレスリリース)

情報管理関連のルールに違反した内容は、1位「複数のIT機器・端末やインターネットサービスで同じパスワードを使い回す」24.7%、2位「パスワード等の適切なセキュリティ対策を講じずに個人情報をメール含むインターネットで送受信する」23.5%と、パスワード関連のルール違反が上位となっています。

(【画像出典】情報処理推進機構(IPA)プレスリリース)

さらに、勤務先の中小企業に情報管理関連のルールがあると回答した人で、過去3年間(2018年10月～2021年9月)でそのルールに違反を犯したことがある人に対して、その違反を会社や上司に報告したか尋ねたところ、1度も報告を行わなかった人は43.2%にのぼりました。

(【画像出典】情報処理推進機構(IPA)プレスリリース)

ルール違反を犯した理由については、1位は「ルールは理解していたが、それを守る意識が希薄だった」48.1%、2位「ルールは理解していたが、正しい手順や対応方法等の知識や理解が不足していた」33.3%と、ルールは理解しているものの危機意識や知識・理解不足が原因であることがわかりました。

(【画像出典】情報処理推進機構(IPA)プレスリリース)

【関連記事】「【テレワークしない会社、その理由】テレワークのメリットと課題を解説」

3.従業員個人で経験したサイバーセキュリティ事故やトラブルの1位「ウイルス・ランサムウェア感染」

勤務先での業務に関わるIT機器やデータの取り扱いにおいて、過去3年間(2018年10月～2021年9月)に従業員個人として経験したサイバーセキュリティ上の事故やトラブルに関して質問したところ、1位は「自分の利用している端末がウイルス・ランサムウェア等に感染した」4.2%、同率2位で「機密を含む情報をメールの宛先間違い等で対象外の人に発信してしまった」3.3%、「フィッシングメール等のURLをクリックし、個人情報等を入力してしまった」3.3%、「業務上利用するIT機器／端末の盗難・紛失にあった」3.3%でした。

(【画像出典】情報処理推進機構(IPA)プレスリリース)

ただ、各項目で「事故やトラブルが発生した」と回答した人のうち半数前後は「発生したが、会社・上司に報告しなった」という結果になっており、「明らかになっていない"かくれサイバートラブル"が存在していて、実際の被害は報告されているものより相当数多い可能性があります」(IPA)。

4.まとめ

IPAセキュリティセンターでは、中小企業向けサイバーセキュリティ対策支援サービス「サイバーセキュリティお助け隊サービス」の紹介とあわせて、サイバーセキュリティ意識の向上を目的とした啓発コンテンツを含むウェブサイトを公開中で、それに伴い、今回のアンケートを実施したとのことです。

IPAでは、「"かくれサイバートラブル"の存在がうかがえる結果となり、トラブルを防ぐ仕組みやさらなる意識啓発の必要性が課題として浮かび上がりました」としています。

「サイバーセキュリティお助け隊サービス」ウェブサイトでは、中小企業を脅かすサイバーセキュリティ上の様々なリスクを、身近な"かるた"になぞらえ表現した"サイバーセキュリティ対策かるた"も提供しており、日常の業務で見落とされがちな様々なリスクについてわかりやすく啓発しているということです。

同サイトはこちら。

(【記事出典】情報処理推進機構(IPA)プレスリリース「サイバーセキュリティに関するトラブル中小企業従業員の10.5%が経験」)