パロアルトネットワークスは2024年8月8日、中小企業のサイバー被害実態および中小市場向けビジネス戦略に関する説明会を開催した。

パロアルトネットワークス チーフサイバーセキュリティストラテジスト 染谷征良氏

国内企業の9割超を占める中小企業。大企業と比べてセキュリティ対策が十分でないケースが多いことから、サイバー攻撃の標的となった企業・団体のサプライチェーンを構成する中小企業が狙われるケースが後を絶たない。

パロアルトネットワークスは今年3月、中小企業のサイバーセキュリティに関する実態を探るため、従業員50～499名の企業でセキュリティ製品・サービス購入における決裁権者・選定権者523名を対象にインターネット調査を実施した。

調査対象となった企業のうち、2023年にサイバー犯罪被害を経験した企業は44％。地域や従業員規模、業種を問わず深刻な問題となっている。

中小企業もサイバー攻撃の対象となっている

サイバーリスクが自組織に与えるビジネス上の影響については、89％が懸念しており、具体的には、得意先への悪影響と社会的な信用下落が各48％、得意先・取引先からの信用下落が45％、取引先への悪影響が44％などとなっている。「中小企業も、サイバーリスクがサプライチェーンや社会全体に与える影響を認識し始めている」とパロアルトネットワークス チーフサイバーセキュリティストラテジストの染谷征良氏は指摘した。

自組織にとってセキュリティ対策が重要と認識している企業も95％にのぼるが、その一方、ヒト・モノ・カネ・情報の不足から、85％がセキュリティへの取り組みに課題があると回答している。

ヒト・モノ・カネ・情報の不足が課題

なかでもセキュリティ人材の不足は深刻で、専任のセキュリティ担当者がいる企業は15％。IT担当や非IT担当が兼務している企業は合わせて74％にのぼり、「セキュリティの専門ではない人がセキュリティ対策に従事せざるをえない状況にある」（染谷氏）。

セキュリティ製品・サービスの運用・保守は外部に委託している企業が多い

そうした中で、63％の企業がセキュリティ製品・サービスの運用・保守業務を外部に委託しており、うち29％は運用・保守内容を把握していない。「企業と販売側それぞれの責任分界点を明確にすることで、セキュリティを最新状態に維持することが重要」と染谷氏は述べた。