一般社団法人日本損害保険協会は、2019年11月、「中小企業の経営者のサイバーリスク意識調査2019」を実施。2020年2月の「サイバーセキュリティ月間」に向けた取り組みで、中小企業の経営者・役員825人を対象に、インターネット上で調査をおこなった。結果、約半数がサイバー攻撃による具体的な被害を想定できていないといった、中小企業のサイバーセキュリティの課題が浮き彫りに。
国内企業へのサイバー攻撃はオリンピックを前に急増中
東京オリンピック・パラリンピック開催を控え、国内企業へのサイバー攻撃は急増しているといわれている。実際、警察庁が公表している「サイバー攻撃とみられる不審なアクセス数の推移」をみても、年々増加傾向にあることは明らかだ。サプライチェーン攻撃により狙われる可能性が特に高いとされているのが、サイバーセキュリティ対策が進んでいない中小企業だ。こうした状況を踏まえ、日本損害保険協会では中小企業の経営者・役員を対象とした「サイバーリスク意識調査」を実施した。
約2割がサイバー攻撃の被害を経験。数千万円の被害額になるケースも
実際に、中小企業の何割程度がサイバー攻撃の被害を受けたことがあるのだろうか。被害を受けたことがあるかを聞いたところ、825人中155人が「ある」と回答。中小企業の約2割が、サイバー攻撃での被害経験があることが判明した。また被害額については、「50万円以下」との回答が最も多かったものの、「1,000万~1億円未満」という回答もあった(7.4%)。被害額が数千万円に達するケースも少なからず発生しているようだ。
これらの結果を踏まえると、中小企業にとってサイバー攻撃は、いつ起こってもおかしくない、リスクの高い課題だと指摘できる。
約5割の中小企業がサイバー攻撃の被害をイメージできていない
では、脅威にさらされている中小企業は、実際にサイバー攻撃による被害を想定できているのだろうか。サイバー攻撃によって企業がこうむる被害についてどの程度イメージできているかを尋ねたところ、「あまりイメージできていない」が20.2%、「全くイメージできていない」は9.5%、「どちらともいえない」が20.8%という結果となった。約半数(50.5%)の企業が、サイバー攻撃による被害がどのようなものかをイメージできていないことがわかる。こうした危機意識の低さもあってか、「サイバー攻撃への対策は、他の経営課題よりも優先度が大幅に低い」または、「1割未満の中小企業しか、自社がサイバー攻撃の対象になると認識していない」といった実態も浮き彫りになった。それを裏付けるように、中小企業のサイバー攻撃対策はなかなか進まず、約4社に1社が、今なお対策さえとっていないという。
「サイバー保険」に加入中の中小企業は、1割未満
サイバー攻撃による金銭的な被害に備えるための手段のひとつに、「サイバー保険」がある。サイバー保険とは、サイバー事故により企業に生じた第三者に対する損害賠償責任や事故の際に必要となる費用、自社の喪失利益を包括的に補償する保険のことだ。保障内容や付帯サービスは、保険会社によって異なる。調査対象の中小企業に、サイバー保険に加入しているかについて尋ねたところ、「加入している」と答えたのはわずか6.9%と、保険加入率は1割にも満たなかった。
サイバー攻撃は、いつ発生するかわからないうえに、いつ攻撃を受けたかを認知することが難しい。被害を認識できない間に、攻撃を受けた企業の先にある顧客にまで波及してしまうおそれがある。被害にあわないようリテラシーを高めることも大切だが、同時に、万が一攻撃を受けたときに備え、拡大をくい止めるための対策も、早急に考えるべきだろう。