パロアルトネットワークスが8月8日に発表した日本の中小企業のサイバーセキュリティに関する実態調査2024年版によると、4割超がサイバー犯罪の被害を経験していることが分かった。調査は3月14日～18日から従業員50～499人の中小企業で、セキュリティ製品やサービスの調達の責任を持つ決裁権者と選定権者523人に聞いた。

　調査結果によると、中小企業の44％が23年にサイバー犯罪被害を経験する。中でも九州・沖縄、近畿、東海の3つ地方の被害経験が50％を超えており、日常的にサイバーリスクに晒されている現状がうかがえる。被害内容は「マルウエア感染」(26％)、「システム・サービス障害」(20％)、「個人情報漏えい」(15％)などになる。

　被害発生率は、50～99人が32％、同100～299人が45％、300～499人が57％と従業員規模に比例し、高くなっている。「小規模の企業は対策が及ばず被害に気づいていない可能性も考えられる」。業種別の被害をみると、「製造業」(51％)が「非製造業」(42％)を上回っている。「製造業ではマルウエア感染や機密情報漏えいが非製造業に比べて顕著で知的財産が脅かされている可能性も考えられる」。

　サプライチェーンリスクに対する意識を聞いたところ、89％が「サイバーリスクが自社に与える影響を懸念」している。具体的には「得意先への悪影響」（48％）、「社会的な信用下落」（48％）、「得意先・取引先からの信用下落」(45％)、「取引先への悪影響」(44％)などになる。一方、「取引停止」や「売上低下」など自社の実ビジネスへの影響に関する懸念は約30％に留まる。

　セキュリティの専門知識を持つ人材は、回答した中小企業の83％が不在とする。なので、セキュリティ業務担当者は「IT担当が兼務」(40％)、「非IT人材が兼務」(34％)と兼務になり、専任はわずか15％だ。担当者不在は9％にもなる。「セキュリティの専門知識を持つ人材不足の深刻さ」と同社は指摘する。なので、最大の課題は「人材不足」（47％）になる。なのに、外部委託(セキュリティ製品・サービスの運用・保守)する回答は36％に留まる。残りの63％は外部委託しているが、実はうち29％は業者任せで委託内容自体を把握していない。

　セキュリティ製品・サービスを選ぶ基準は、49%が「性能の良さ」を挙げる。とくにセキュリティ対策を重要視している企業になると、「性能の良さ」は59％になり、「運用コスト」(30％)と「管理のしやすさ」(28％)を上回る。同社は「価格」が上位に入っていないのは、中小企業が「セキュリティ製品・サービスの価格が妥当」と判断しているのか、「提示された価格をそのまま受け入れている」のかになると推測する。

　セキュリティ製品・サービスの購入先は多様化する。「大手の販売会社」(40％)、「地場の販売会社」(19％)、「メーカー直販」(15％)が上位になる。クラウドサービスのマーケットプレイス経由からの購入も12％あり、「外部委託に依存しない導入や、購入の手軽さ・スピードを重要視する傾向も見られる」という。（田中克己）