約7割の中小企業で組織的なセキュリティ体制が整備されていないという実態

スポンサーリンク

scan.netsecurity.ne.jp

 

経済産業省の調査で約7割の中小企業で組織的なセキュリティ体制が整備されていないという実態。一方で、上場企業や大企業ではその状況が大きく異なる傾向があります。一般的には、上場企業や大企業の方がリソースや資金力、規制への対応義務があるため、セキュリティ対策に力を入れるケースが多い。

 
ただし、上場企業や大企業であっても、完璧とは言えず、サイバー攻撃による被害は報告されています。例えば、2024年には上場企業で個人情報漏洩事故が過去最多を記録したとのデータもあり、規模が大きい分、攻撃の標的になりやすい側面もあります。それでも、中小企業と比較すれば、組織的なセキュリティ体制の整備状況は明らかに進んでいると言えるでしょう。
 
組織的なセキュリティ体制はセキュリティの初歩の初歩とも言える部分です。
 
基本的な枠組みがなければ、個々の対策がバラバラになり、効果を発揮しづらいからです。例えば、ポリシーやルールの策定、責任者の明確化、従業員教育といった要素は、サイバーセキュリティの土台であり、これが欠けていると高度な技術やツールを導入しても穴だらけの状態になりかねません。ただ、現実にはその「初歩」ができていない企業が中小企業を中心に多いというのが問題です。リソース不足やノウハウの欠如、経営層の意識の低さなどが原因で、初歩的な体制構築すら後回しにされるケースが目立ちます。一方で、大企業ではこの初歩をクリアしていることが多く、そこからさらにリスク評価やインシデント対応、定期的な監査といった次のステップに進んでいる傾向があります。
 
特に現代ではサイバー攻撃が高度化・巧妙化しており、最低限の組織的体制がないと致命的なダメージを受けるリスクは無視できません。中小企業であっても、せめて基本的なルール作りや責任分担を整備するだけでも大きく変わるはずなんですが、そこにたどり着くまでのハードルが意外と高いのも実情です。逆に言えば、大企業が体制を整えているのは当たり前すぎて、もはや差別化ポイントでもないのかもしれません。

大企業も組織的なセキュリティ体制が整っているからといって完全に安心できるわけではない、という意味では油断が禁物。大企業には中小企業にない強み(資金力、専門人材、システム投資余力)がある一方で、特有の弱点やリスクも存在します。
 
例えば、大企業だと以下のような落とし穴があります:
  1. 規模ゆえの複雑さ
    部門や子会社が多く、セキュリティポリシーを全社で統一するのが難しい場合があります。ある部門では対策が進んでいても、別の部門で穴が開いていると、そこを突かれて被害が広がることも。
  2. 標的になりやすい
    大企業は知名度が高く、扱うデータ量も多いため、ハッカーにとって「美味しいターゲット」です。中小企業が狙われるケースも増えていますが、大企業は攻撃の優先順位が高い傾向にあります。
  3. 過信による隙
    「うちは体制が整っているから大丈夫」と慢心すると、最新の脅威への対応が遅れたり、従業員の意識が低下したりするリスクがあります。実際、2024年に上場企業で情報漏洩が過去最多を記録した背景には、こうした油断も指摘されています。
  4. サプライチェーンリスク
    大企業は取引先や委託先の中小企業と繋がっていることが多く、そこが脆弱だと足を引っ張られる。例えば、中小企業経由でマルウェアが侵入し、大企業のシステムに影響を及ぼすケースが多発しています。
つまり、大企業は初歩的なセキュリティ体制をクリアしていることが多いものの、それだけで万全とは言えず、むしろ規模が大きい分、守るべき範囲が広く、責任も重い。初歩を固めた上で、さらに高度な対策や柔軟な対応が求められるので、「体制があるからOK」と気を抜くのは禁物ということになります。