中企庁　中小企業等におけるサイバーセキュリティ対策の実態調査を公表

　同調査は、全国の中小企業4191社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調べた。

　それによると、2023年度にサイバーインシデントの被害を受けたと回答した企業(n=975)のうち、サイバーインシデントによる影響として、「データの破壊」と回答した企業が35.7%、「個人情報の漏えい」と回答した企業が35.1%だった。

　また、過去3期に発生したサイバーインシデントで生じた被害額の平均は73万円で、100万円以上の被害額であった企業は9.4％（最大で１億円）、過去３期内で10回以上のサイバーインシデント被害に遭った企業が1.7％（最大で40回）、復旧までに要した期間の平均は5.8日。50日以上を要した企業が2.1％（最大で360日）だった。

　また、2023年度にサイバーインシデントの被害を受けた企業のうち「不正アクセス被害を受けた」と回答した企業(n=419)について、サイバー攻撃の手口を聞いたところ、「脆弱性（セキュリティパッチの未適用等）を突かれた」との回答が48.0%で最も多く、次いで、「ID・パスワードをだまし取られた」との回答が36.8%。「取引先やグループ会社等を経由して侵入」との回答も19.8%あった。

　不正アクセスによる被害の内容については、「自社Webサイトのサービス停止、または機能が低下させられた」が22.9%、「業務サーバのサービス停止、または機能が低下させられた」との回答が20.3%と上位となった。次いで、「自社Webサイトの改ざん（16.5%）」、「業務サーバ内容の改ざん（15.5%）」、「第三者によるなりすまし（13.4%）」などが多かった。

調査結果の詳細はこちら。