中小企業セキュリティ運用実態を調査、サプライチェーン強化制度開始前に浮き彫りになった課題と解決策

株式会社テクノルは、従業員数200名以下の中小企業を対象にセキュリティ運用に関する実態調査を実施しました。経済産業省がサプライチェーン強化に向けた新たな制度開始を目指す中、大手取引先を持つ企業ほどセキュリティ運用がスムーズである一方、多くの企業で専門知識の不足や運用負荷が課題となっている実態が明らかになりました。本記事では、スムーズなセキュリティ運用を実現するための条件と、中小企業が抱える具体的な課題、そしてその解決策について深掘りします。

中小企業セキュリティ運用実態、取引先で大きな差

見出し

1 中小企業セキュリティ運用実態、取引先で大きな差
2 スムーズな運用を支える「即時相談体制」と「自動化」
3 基礎対策の徹底が自信に直結、専門知識の理解度も影響か
4 サプライチェーン強化制度への対応、中小企業は情報収集段階が多数
5 インシデント発生時、「外部サポート」が頼みの綱
6 取引先への説明に自信なし、専門外対応が足かせに
7 新ツールの導入懸念、「使いこなせるか」が最大の課題
8 中小企業セキュリティの鍵は「専門外サポート」と「運用負荷軽減」
9 株式会社テクノルが提供する「MR-EP Plus」

株式会社テクノル（本社：青森県八戸市）は、従業員数200名以下の企業で情報システムまたはセキュリティ業務を他業務と兼務する担当者1,004人を対象に、「中小企業の情報システム部のセキュリティ運用」に関する調査を実施しました。この調査は、経済産業省が令和8年度末頃の開始を目指す「サプライチェーン強化に向けたセキュリティ対策評価制度」を前に、中小企業のセキュリティ実態を把握する目的で行われたものです。

調査結果によると、セキュリティ運用が計画的かつスムーズにできていると感じる企業の割合は、主な取引先の属性によって差が見られました。「大手企業またはその関連会社と継続的な取引がある（サプライチェーンに該当）」と回答した企業では約75%がスムーズな運用を実感している一方、「一般消費者（BtoC）との取引が中心である」企業では約55%、「公的機関・官公庁との取引がある」企業では約36%にとどまっています。

スムーズな運用を支える「即時相談体制」と「自動化」

セキュリティ運用がスムーズであると感じる企業に、その要因を尋ねたところ、「わからないことを、電話やチャットですぐに相談できるため」が約46%で最も多く挙げられました。次いで、「高機能な自動化ツールを導入し、手動での対応を減らしているため」が約38%、「経営層が重要性を理解し、必要な予算を承認してくれているため」が約34%と続いています。専門知識や時間が限られる中でも、迅速なサポート体制とツールの自動化がスムーズな運用に寄与していることがうかがえます。

基礎対策の徹底が自信に直結、専門知識の理解度も影響か

具体的なセキュリティ対策の実施状況では、スムーズな運用を実感している企業ほど、基本的な対策を徹底していることが判明しました。「ウイルス対策ソフトの導入」や「OSやソフトウェアの定期的なアップデート」といった基礎的な対策が、運用全体の自信につながっていると考えられます。

また、「インシデントやエンドポイント、振る舞い検知などの『セキュリティの専門用語』をどのくらい理解できるか」という問いに対しては、運用がスムーズだと「とても感じる」と回答した企業の約95%が「理解できる」と答えています。一方で、「まったく感じない」と回答した企業では、この割合が約30%にとどまり、専門用語の理解度が運用スムーズさに影響を与えている可能性が指摘されています。

サプライチェーン強化制度への対応、中小企業は情報収集段階が多数

国が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度」への認知度と対応状況については、「大手企業またはその関連会社と継続的な取引がある」企業では約75%が制度を「知っている」と回答しましたが、そのうち具体的な対策に着手しているのは約29%にとどまり、約45%は情報収集段階にあるとしています。一方、「中堅・中小企業との取引が中心である」企業では約43%が具体的な対策を行っており、サプライチェーンの一角としての危機感を持って動いている企業が多い可能性も示唆されています。

インシデント発生時、「外部サポート」が頼みの綱

業務中にPCのセキュリティツールから「不審な挙動の通知」が届いた際の行動については、「セキュリティツールのメーカーのサポート窓口へ連絡する」が約29%で最も多く、「詳しい人に相談する」が約26%、「すぐにマニュアル等を確認・調査し原因を特定する」が約25%と続きました。不審な通知に対して、自力で解決しようとする割合は約4分の1にとどまり、多くの担当者が外部の専門家や窓口に頼る傾向が明らかになっています。緊急時に相談できるサポート体制の重要性が浮き彫りになりました。

取引先への説明に自信なし、専門外対応が足かせに

新制度開始時に、取引先から自社のセキュリティ対策状況を問われて即答できる自信があるかについては、「大手企業またはその関連会社と継続的な取引がある」企業では約7割が「自信がある」と回答しました。しかし、取引先が「中堅・中小企業」「一般消費者」「公的機関」となるにつれて、この自信は減少する傾向にあります。

セキュリティ運用がスムーズではないと感じる企業に、対策を後回しにする理由を尋ねると、「本業が忙しく、セキュリティ対策まで手が回らないため」が約28%、「何から手をつければよいか、専門的な判断が難しいため」が約28%と上位を占めています。さらに、導入済みのセキュリティツールについても、「ログやレポートを読み解き、対策に活かす時間がない」が約29%、「通知が来たときに危険かどうかを判断するスキルがない」が約27%と、専門外の対応が担当者の大きな負担となっている実態が浮き彫りになりました。

新ツールの導入懸念、「使いこなせるか」が最大の課題

今後、新しいセキュリティツールの導入を検討する際の懸念点については、「セキュリティの専門知識がない担当者でも、正しく使いこなせるか」が約48%と最も多く挙げられました。次いで、「導入コストや月々のランニングコストが効果に見合うか」が約39%、「新しいセキュリティツールを導入することで、PCの動作が重くなるなどの支障が出ないか」が約38%と続いています。スキル不足への不安に加え、コスト面や実務への影響も重要な懸念事項として認識されています。

中小企業セキュリティの鍵は「専門外サポート」と「運用負荷軽減」

今回の調査結果から、従業員数200名以下の中小企業におけるセキュリティ運用は、取引先の属性によって大きな差があることが明らかになりました。特に、専門知識の不足や運用にかかる時間、コスト、そしてツールの使いこなし方に対する不安が、セキュリティ対策を阻む要因となっています。

今後、サプライチェーン強化に向けた新たな制度が導入されれば、中小企業に求められるセキュリティ要件はさらに厳格化すると予想されます。企業が持続的に成長し、信頼を確保するためには、単に高機能なツールを導入するだけでなく、「専門知識がなくても操作できるシンプルさ」や「異常検知時に相談できる専門家のサポート体制」といった運用面での支援が不可欠となるでしょう。兼務担当者の負担を軽減し、専門外の領域をカバーする体制の構築が、中小企業のセキュリティ対策を強化する鍵となると考えられます。

株式会社テクノルが提供する「MR-EP Plus」

株式会社テクノルは、こうした中小企業の課題に応えるセキュリティ製品・サービスを提供しています。同社の「MR-EP Plus」は、EPP（Endpoint Protection Platform）とEDR（Endpoint Detection and Response）の機能を兼ね備えた統合セキュリティ製品です。ランサムウェアなどの高度な脅威に対し、検知、調査、修復作業の約90%を自動化し、導入・管理の手間と費用を抑えながら、アンチウイルス、振る舞い検知、フォレンジック分析まで幅広く対応するといいます。