中小企業(*)の4割超がサイバー犯罪の被害を経験。
人材不足が課題となる一方で、サプライチェーンリスクへの懸念から95%がセキュリティを重要視し、セキュリティ製品の選定には「性能」を評価

 

パロアルトネットワークス株式会社(本社:東京都千代田区、代表取締役会長兼社長:アリイ・ヒロシ、以下パロアルトネットワークス)は、本日、「日本国内の中小企業のサイバーセキュリティに関する実態調査 2024年版」に関して実施した調査の結果を公表いたしました。

(*) 調査は従業員50〜499名の企業を対象に実施。本リリース内では中小企業として表記を統一。

 

調査の背景

慢性的な人材不足や歴史的な円安水準など企業が難しい社会情勢に直面する中、政府は2024年を「中堅企業元年」として各種の施策を打ち出しています。背景にはDX化やM&Aなど「投資の度合い」で各社の成長力の差が開いていることが一因となっています。

国内企業の9割超を占め日本経済を下支えする中小企業はサプライチェーンを構成する重要な存在になっていますが、DX化と共にビジネスの優位性を維持していくためには、セキュリティの確保の必要性が一層高まっています。

この度、パロアルトネットワークスでは、日本の中小企業における脅威の度合いやセキュリティ対策の現状を把握し、よりセキュアなビジネス環境を考察するための調査を実施いたしました。

 

調査概要

  • 調査方法: インターネット調査
  • 調査期間: 2024年3月14日~18日
  • 調査対象: 従業員50〜499名の中小企業でセキュリティ製品・サービス購入における決裁権者、選定権者523名
    • 従業員規模別内訳:50〜99名(174名)、100〜299名(175名)、300〜499名(174名)
    • 地方別内訳:北海道・東北(63名)、関東(70名)、北陸(63名)、東海(69名)、近畿(69名)、中国(66名)、四国(60名)、九州・沖縄(63名)
    • 業種別内訳:製造業(129名)、非製造業(394名) 
       

調査結果 (ハイライト)

  • 中小企業の44%が2023年にサイバー犯罪被害を経験、3地方では被害経験が50%超え。日常的にサイバーリスクに晒されている現状が明らかに。
    • 実際の被害状況:今回の調査対象の44%が2023年にサイバー攻撃や内部犯行による被害を経験。被害内容の上位3位は、マルウェア感染(26%)、システム・サービス障害(20%)、個人情報漏えい(15%)。
    • 50%超えとなった3地方:九州・沖縄地方(56%)、近畿地方(55%)、東海地方(52%)の3地方は被害経験が50%を上回り、東海地方、九州・沖縄地方はマルウェア感染(38%、37%)や個人情報漏えい(各22%)の被害が他と比較して顕著となった。
    • 企業規模との相関性:従業員規模に比例して被害発生率が高くなっている(50〜99名:32%、100〜299名:45%、300〜499名:57%)一方で、小規模の企業は対策が及ばず被害に気づいていない可能性も考えられる。
    • 製造業への被害(51%)が非製造業(42%)を上回る:製造業ではマルウェア感染や機密情報漏えいが非製造業に比べて顕著になり知的財産が脅かされている可能性も考えられる。
  • サプライチェーンリスクとして得意先への悪影響を懸念、特に製造業と東海地方で高い傾向
  • サプライチェーンリスクに対する意識:89%がサイバーリスクが自社に与える影響を懸念し、95%がセキュリティを重要視している。中小企業においてもサプライチェーンリスクに対する懸念が高まっている現状が明らかになっている。
    • 懸念の上位3位:「得意先への悪影響」「 社会的な信用下落」が共に48%、「得意先・取引先からの信用下落」(45%)、「取引先への悪影響」(44%)が上位に挙がった一方で、「取引停止」や「売上低下」など自社の実ビジネスへの影響に関する懸念はそれぞれ約30%に留まる。
    • 得意先への悪影響に対する懸念:地域別では東海地方、また業種別では製造業が比較的高くなった。
    • 製造業 vs 非製造業:得意先や取引先への悪影響、また知財やノウハウの外部流出に関する懸念が非製造業と比較して製造業で相対的に高くなった。
  • 当局や業界団体など外部からの対策要請の有無がサプライチェーンリスクの意識と相関。リスク認識の醸成には外部からの圧力や情報発信が有効と考えられる。
  • 中小企業の83%でセキュリティの専門知識を持つ人材が不在。しかし36%はセキュリティの運用・保守を未契約
    • 深刻なセキュリティ人材不足:中小企業でのセキュリティ業務担当者は、IT担当が兼務(40%)、非IT人材が兼務(34%)で専任は15%留まり。担当者不在も9%でセキュリティの専門知識を持つ人材不足の深刻さが明らか。
      • 最大の課題として47%が「人材不足」を挙げ「限られた予算」(42%)を上回る。対策の必要性への認識はあってもセキュリティの専門性の欠如が大きな障壁になっている。
    • 外部委託の有無:36%が外部委託(セキュリティ製品・サービスの運用・保守)をしていない、また63%が外部委託しているものの、うち29%は業者任せで委託内容自体を把握していない。
  • セキュリティ製品・サービスに求めるのは「価格」ではなく「品質」
    • セキュリティ製品・サービスを選ぶ基準:49%が「性能の良さ」を挙げ、北陸地方を除く全地域、また規模・業種に関わらず圧倒的に1位となっている。セキュリティ対策を重要視している企業の59%が「性能の良さ」を1位に挙げた。2位に「運用コスト」(30%)、「管理のしやすさ」(28%)が3位となった。
    • 「価格」が上位に挙げられていないことから、セキュリティ製品・サービスの購入において価格を妥当と判断している、または提示された価格をそのまま受け入れている可能性も高いと推測される。
       
  • セキュリティ製品・サービスの購入先は多様化
    • セキュリティ製品・サービスの購入先:大手の販売会社(40%)、地場の販売会社(19%)、メーカー直販(15%)が上位3位。関東、近畿以外の地域は地場の販売会社経由での購入率が高く、各地方ごとの市場特性を踏まえた販売戦略や活動が不可欠。
    • また、クラウドサービスのマーケットプレイス経由からの購入も12%となり、外部委託に依存しない導入や、購入の手軽さ・スピードを重要視する傾向も見られる。
       
  • セキュリティ製品・サービスの選定において重要視する情報源は「販売会社」
    • セキュリティ製品・サービスを購入する際の情報源:「販売会社からの提案・紹介」が61%と圧倒的に高く、ついで「メーカーからの公開情報」(49%)となっている。主幹部門だけでなく営業部門への適切な量と質の情報提供が不可欠。また、「コンサルタントや相談役からの提案・紹介」も24%が重要視している。

 

本調査を主導したパロアルトネットワークス、チーフサイバーセキュリティストラテジストの染谷征良のコメント:

日本経済の根幹を支える中小企業が成長を遂げる中で、人員不足やサイバー攻撃の脅威などの課題が深刻化しています。4割以上がサイバー攻撃の被害を経験している今日、複雑なサプライチェーンを構成している中小企業はサプライチェーンリスクの懸念からセキュリティへの重要視も9割に達しています。外部の専門知識やサービスの利用と共に、低い運用負荷での包括的なセキュリティを構築することが極めて大切です。

 

本調査結果の要約はこちらよりダウンロードいただけます。

パロアルトネットワークスの中規模企業向け次世代ファイアウォールPA-400シリーズの詳細についてはこちらをご覧ください。

 

パロアルトネットワークス株式会社について

パロアルトネットワークスは、サイバーセキュリティのグローバルリーダーです。企業や組織が安心してテクノロジーを活用できるよう、サイバー脅威を克服するための技術革新に努め、世界中のあらゆる業界の何千ものお客様に、次世代サイバーセキュリティを提供しています。最高クラスのサイバーセキュリティプラットフォームとサービスは、業界をリードする脅威インテリジェンスに支えられ、最先端の自動化によって強化されています。ゼロトラストエンタープライズの実現に向けた製品の導入や、セキュリティインシデントの対応、ワールドクラスのパートナーエコシステムを通じたより良いセキュリティ成果の提供などにより、毎日をより安全なものにするための支援に取り組んでいます。それが、パロアルトネットワークスがサイバーセキュリティのパートナーとして選ばれる理由です。

パロアルトネットワークスでは、ミッションの実現に向けて最高の人材を集めることに尽力しており、Newsweek誌の「最も愛される職場」(2021年)、Comparably(職場文化モニタリングプラットフォーム)の「多様性に優れた企業」(2021年)、HRC(ヒューマンライツキャンペーン)の「LGBTQ平等のための最高の場所」(2022年)に選出されています。詳しくは http://www.paloaltonetworks.jpをご覧ください。

※Palo Alto Networks、Palo Alto NetworksロゴおよびCortexは米国およびその他の国・地域におけるPalo Alto Networksの登録商標または商標です。本書に記述されているその他すべての商標、商号、サービスマークは、各所有者に帰属します。また、本書またはその他のプレスリリース公式発表に記述されている未発売のサービス、および機能については、提供開始までご利用いただけません。当初の予定通りに提供開始されない場合や、提供されない場合もあります。パロアルトネットワークスの製品やサービスを購入する際は、既に提供されているサービスや機能をhttp://www.paloaltonetworks.jpよりご確認ください。



報道関係者からのお問い合わせ

パロアルトネットワークス株式会社
コーポレートコミュニケーション 松島 由起子
Email: ymatsushima@paloaltonetworks.com
パロアルトネットワークスPR事務局
共同ピーアール株式会社
Email: panw-pr@kyodo-pr.co.jp