被害額は平均73万円

調査は、全国の中小企業4191社を対象にウェブアンケートによって実施した。過去3期内にサイバーインシデントが発生した企業の被害額は平均73万円で、100万円以上の被害は9.4％を占めた。被害を受けた企業にその影響について聞いたところ、「データの破壊」が35.7％、「個人情報の漏えい」が35.1％、「ウイルスメール等の発信」が21.5％などだった。

過去3期内に10回以上のサイバーインシデントの被害に遭った企業は1.7％で、最大で40回だった。復旧までにかかった期間は平均5.8日、50日以上かかった企業は2.1％を占めた。

サイバーインシデントによる被害が生じ、「不正アクセス被害を受けた」と回答した企業にサイバー攻撃の手口を聞いた結果、「脆弱性（セキュリティパッチの未適用等）を突かれた」が48.0％で最も多かった。次いで「ID・パスワードをだまし取られた」（36.8％）、「取引先やグループ会社等を経由して侵入」（19.8%）が続いた。

 質問：サイバーインシデントにより貴社の取引先（サプライチェーン）に影響はありましたか。影響が及んだ場合はその内容について教えてください。

約7割の企業で組織的なセキュリティ体制を未整備

2023年度にサイバーインシデントの被害を受けた975社の約7割が、「サイバーインシデントにより取引先に影響があった」と回答。その内容は「取引先にサービスの停止や遅延による影響が出た」（36.1％）、「個人顧客への賠償や法人取引先への補償負担の影響が出た」（32.4％）、「原因調査・復旧に関わる人件費等の経費負担があった」（23.2％）が上位に並んだ。

また、約7割の企業で、組織的なセキュリティ体制が整備されていない様子も浮かび上がった。「専門部署がある」は過去の調査からわずかに増えたものの、「兼務担当者が任命されている」は減少し、「組織的対策を行っていない（各自の対応）」が増加していた。

過去3期の情報セキュリティ対策への投資状況については、「情報セキュリティ対策投資をしていない」が62.6％に上り、2021年度調査の33.1％から増加した。