サイバーセキュリティに関するトラブル中小企業従業員の10.5%が経験。従業員の5人に1人は情報管理のルール違反経験あり。経験した事故やトラブルの半数程度は会社や上司に報告していないことが判明!

2021/12/08  独立行政法人 情報処理推進機構 

会社や上司に報告されるトラブルは氷山の一角“かくれサイバートラブル”が相当数発生か!?企業として事故やトラブルを社外へ公表・公開した事例も半数以下の41.0%

 IPA(独立行政法人情報処理推進機構)セキュリティセンターでは、中小企業向けサイバーセキュリティ対策支援サービス「サイバーセキュリティお助け隊サービス」の紹介とあわせて、サイバーセキュリティ意識の向上を目的とした啓発コンテンツを含むウェブサイトを公開中ですが、それに伴い、全国の中小企業に勤務する従業員1,000名に対してサイバーセキュリティに関するアンケートを実施しました。  その結果、過去3年間でサイバーセキュリティ上の事故やトラブルを勤務先で経験した中小企業従業員は10.5%。  勤務先で情報管理関連のルールが制定されている人のうち5人に1人はルール違反の経験があり、うち4割以上は会社や上司に1度も報告していないことが判明しました。また、企業として事故やトラブルを社外に報告した事例も半数以下の41.0%であるなど、報告・公表される事例は氷山の一角であってこれを相当数上回る“かくれサイバートラブル”の存在がうかがえる結果となり、トラブルを防ぐ仕組みやさらなる意識啓発の必要性が課題として浮かび上がりました。


【アンケート概要】 アンケート対象:全国の中小企業に勤務する人1,000名
アンケート方法:インターネット調査 アンケート期間:2021年11月5日(金)~11月7日(日)
※アンケート結果の数値は小数点以下を適宜四捨五入して表示しているため、積み上げ計算すると誤差がでる場合があります。
※アンケート結果をご紹介いただく際は、「情報処理推進機構調べ」と注釈をご記載ください。
 

本ニュースサマリー

■PART1 中小企業従業員のサイバーセキュリティトラブル
・中小企業従業員の10.5%が過去3年間でサイバーセキュリティ上の事故やトラブルを勤務先で経験、トラブル上位はウイルス関連

■PART2 中小企業の情報管理ルール
・IT機器の利用やデータの取り扱いについて勤務先でルールが制定されていると答えた中小企業従業員は半数以下の42.7%
・うち5人に1人はそのルールに違反したことがあり、違反したルールの上位はパスワード関連
・ルール違反をした人のうち、その違反を会社や上司に1度も報告していない人は43.2%

■PART3 従業員個人のサイバーセキュリティトラブル
・従業員個人として勤務先で経験したサイバーセキュリティ上の事故やトラブル、1位は「ウイルス・ランサムウェア感染」、 2位は「メールの宛先間違い」
・一方、その事故やトラブルの半数以上は会社や上司に報告しておらず、 “かくれサイバートラブル”は報告されているものの相当数多く存在している!?

■PART4 業種別/職種別のサイバーセキュリティトラブル発生率
・サイバーセキュリティトラブル発生率の高い業種は「情報通信/広告業」「対個人サービス業」「製造業」
・サイバーセキュリティトラブル発生率の高い職種は「管理」などPCやインターネットを頻繁に使う職種が上位

■PART5 「サイバーセキュリティお助け隊サービス」ウェブサイト公開中
・“かくれサイバートラブル”を防ぐ仕組みや啓発の一助になる、中小企業向けサイバーセキュリティ対策支援サービス「サイバーセキュリティお助け隊サービス」ウェブサイト を公開中
 

PART1 中小企業従業員のサイバーセキュリティトラブル

・中小企業従業員の10.5%が過去3年間でサイバーセキュリティ上の事故やトラブルを経験
過去3年間(2018年10月~2021年9月)の間、サイバーセキュリティ上の事故やトラブルを経験した中小企業従業員は10.5%で、トラブル1位は「ウイルス・ランサムウェアによる被害」、2位は「取引先を装った偽メールによるウイルス感染」 と、ウイルス関連が上位となっています。




 
・年間のサイバーセキュリティトラブル発生件数は平均1.4回
サイバーセキュリティ上の事故やトラブルが発生した回数は、2018年が平均2.8回、2019年が平均1.0回、2020年が平均0.6回、2021年(1月~10月)が平均1.4回、トータルの年平均は1.4回という結果になりました。


・これらの事故やトラブルを社外へ公表・公開した事例は半数以下の41.0%
一方で、上記のサイバーセキュリティ上の事故やトラブルに関して、勤務先が社外への公表・公開等(プレスリリースや、HP等への掲載等で)を行ったと答えた中小企業従業員は「複数回ある」18.1%、「1回ある」22.9%で計41.0%でした。


 

PART2 中小企業の情報管理ルール

・IT機器の利用やデータの取り扱いについてルールが制定されていると答えた中小企業従業員は半数以下の42.7%
勤務先の中小企業のIT機器やデータの取り扱いに関連する情報管理のルールについて聞いたところ、ルールが制定されていると回答したのは全体の42.7%で、6割近くはルールが制定されていない、またはルールの有無を認識していないという結果になりました。




 
・5人に1人はそのルールに違反したことがあり、その多くは複数回にわたる違反
勤務先の中小企業に情報管理関連のルールがあると回答した人のうち、過去3年間(2018年10月~2021年9月)でそのルールに違反を犯したことがある人は19.0%で、そのうち多くの人が複数回にわたってルール違反をしていました。


 
・違反したルールの上位はパスワード関連
情報管理関連のルールに違反した内容は、1位「複数のIT機器・端末やインターネットサービスで同じパスワードを使い回す」24.7%、2位「パスワード等の適切なセキュリティ対策を講じずに個人情報をメール含むインターネットで送受信する」23.5%と、パスワード関連のルール違反が上位となっています。


 
・ルール違反をした人のうち、その違反を会社や上司に1度も報告していない人は43.2%
勤務先の中小企業に情報管理関連のルールがあると回答した人で、過去3年間(2018年10月~2021年9月)でそのルールに違反を犯したことがある人に対して、その違反を会社や上司に報告したか尋ねたところ、1度も報告を行わなかった人は43.2%にのぼりました。


 
・ルール違反の理由、ルールは理解しているものの危機意識や知識・理解が不足
ルール違反を犯した理由については、1位は「ルールは理解していたが、それを守る意識が希薄だった」48.1%、2位「ルールは理解していたが、正しい手順や対応方法等の知識や理解が不足していた」33.3%と、ルールは理解しているものの危機意識や知識・理解不足が原因であることがわかりました。




 

PART3 従業員個人のサイバーセキュリティトラブル

・従業員個人として経験したサイバーセキュリティ上の事故やトラブル、1位は「ウイルス・ランサムウェア感染」4.2%。一方、その事故やトラブルの半数以上は会社や上司に報告していない。
勤務先での業務に関わるIT機器やデータの取り扱いにおいて、過去3年間(2018年10月~2021年9月)に従業員個人として経験したサイバーセキュリティ上の事故やトラブル、1位は「自分の利用している端末がウイルス・ランサムウェア等に感染した」4.2%、同率2位で「機密を含む情報をメールの宛先間違い等で対象外の人に発信してしまった」3.3%、「フィッシングメール等のURLをクリックし、個人情報等を入力してしまった」3.3%、「業務上利用するIT機器/端末の盗難・紛失にあった」3.3%でした。
しかし、各項目で「事故やトラブルが発生した」と回答した人のうち半数前後は「発生したが、会社・上司に報告しなった」という結果になっており、明らかになっていない“かくれサイバートラブル”が存在していて、実際の被害は報告されているものより相当数多い可能性があります。


 

PART4 業種別/職種別のサイバーセキュリティトラブル発生率

・サイバーセキュリティトラブル発生率の高い業種は「情報通信/広告業」「対個人サービス業」「製造業」
過去3年間に中小企業で発生したサイバーセキュリティ上の事故やトラブルについて、業種別に見たところ、同率1位で「情報通信/広告業」17.0%、「対個人サービス業」17.0%、3位「製造業」という結果になりました。




・サイバーセキュリティトラブル発生率の高い職種は「管理」「営業(社外への頻繁な外出を伴わない)」
過去3年間に中小企業従業員が経験したサイバーセキュリティ上の事故やトラブルについて、職種別に見たところ、1位で「管理」18.5%、2位「営業(社外への頻繁な外出を伴わない」15.9%、3位「事務」11.9%で、やはりPCやインターネットを頻繁に使用する職種が上位となる結果となりました。

 


PART5 「サイバーセキュリティお助け隊サービス」ウェブサイト公開中

IPAは、中小企業向けサイバーセキュリティ対策支援サービス「サイバーセキュリティお助け隊サービス」の新たなウェブサイトを公開中です。本ウェブサイトでは、中小企業を脅かすサイバーセキュリティ上の様々なリスクを、身近な“かるた”になぞらえ表現した“サイバーセキュリティ対策かるた”も提供しており、日常の業務で見落とされがちな様々なリスクについてわかりやすく啓発しています。
URL : https://www.ipa.go.jp/security/otasuketai-pr/

IPAは2019年度から2年にわたり、中小企業のサイバーセキュリティ対策を支援する仕組みの構築を目的とした実証事業(サイバーセキュリティお助け隊)*1を実施しました。その結果等を踏まえ、中小企業に不可欠な各種サービスをワンパッケージで安価に提供することを要件としてまとめた「サイバーセキュリティお助け隊サービス基準」を策定、同基準を満たす民間のサービスを「サイバーセキュリティお助け隊サービス」として登録・公表しています。本年12月までに2回の審査が行われ、9つのサービスが登録されています。

11月10日(水)に公開した新たなウェブサイト(図1)では、「サイバーセキュリティお助け隊サービス」の利用対象となる中小企業に向けて、登録サービスを紹介するのみならず、サイバーセキュリティ意識の向上を目的として、分かりやすく親しみやすい啓発コンテンツも同時公開しています。具体的には、登録されたサイバーセキュリティお助け隊サービスのリスト(各サービス詳細情報へのリンク含む)や、中小企業向けの情報セキュリティ関連情報へのリンクなどを掲載しているほか、日常の業務で見落とされがちなリスクを46種類のポップなイラストと標語で表現した“サイバーセキュリティ対策かるた”(図2)を公開しています。


▲図1. 「サイバーセキュリティお助け隊サービス」ウェブサイト
▲図2. サイバーセキュリティ対策かるた
本かるたは、ランサムウェアやフィッシング詐欺といった昨今多く報道されているリスクに加えて、パスワードの使い回しやWi-Fiからの情報漏洩など、身近な業務に潜むリスクを取り上げることで、中小企業が自らのセキュリティ対策を考えるきっかけとして利用・シェアできるよう画像ファイルにより提供しています。それぞれ100文字程度の解説も加えており、対策のヒントとして役立てるほか、SNSでシェアすることにより身近な人と気付きを共有することも可能です。

・ウェブサイト名称:「サイバーセキュリティお助け隊サービス」
・URL:https://www.ipa.go.jp/security/otasuketai-pr/
・公開日:2021年11月10日(水)
・主なコンテンツ:
 -「サイバーセキュリティお助け隊サービス」概要紹介
 -サイバーセキュリティお助け隊サービスのリスト
 -啓発コンテンツ“サイバーセキュリティ対策かるた”
 -「サイバーセキュリティお助け隊サービス」紹介動画
*1 「中小企業向けサイバーセキュリティ事後対応支援実証事業」(2019年度)及び「令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業」

他の画像

関連業界