実は投資している？2024年度 中小企業等実態調査から読み解く、情報セキュリティ対策投資のリアル

2025年5月27日、IPA（独立行政法人 情報処理推進機構）から、「2024年度 中小企業における情報セキュリティ対策に関する実態調査」が発表されました。この調査は、全国の中小企業4,191社を対象にウェブアンケートを行い、情報セキュリティ対策への取り組みや被害の状況、対策実施における課題、取引先を含む情報セキュリティ対策の状況などを調査するものです。

これに先立ち、2025年2月14日には、速報版が公開されており、IT関係の各種メディアで取り上げられていたため、速報をご覧になった方も多いのではないでしょうか。

速報の中で着目した点は、「過去3期における情報セキュリティ対策投資を行っていない企業は約6割」という調査結果でした。さらに、過去3回の調査の中で最も投資していない割合が高くなっていた点でした。

この結果は、セキュリティ対策に日々取り組んでいる中小企業のセキュリティ担当者にとって、少なからず衝撃や戸惑いを感じたことと思います。私自身もセキュリティ対策の必要性が叫ばれる現代において、非常に憂慮すべき状況だと感じました。

しかし今回、「2024年度 中小企業における情報セキュリティ対策に関する実態調査」の詳細版が発表されたことで、速報版から受けた印象を覆すような見解を見つけることができました。

本記事では、最新の実態調査資料をもとに、速報値では見えなかった中小企業における情報セキュリティ対策投資の実態に焦点を当て、企業規模別の傾向とそこから読み取れる示唆について考察します。

速報時の調査資料によると、直近過去3期における情報セキュリティ対策投資（IT機器や社員への教育等を含む）について、「投資していない」と回答した企業は全体の59.7%でした。この数字が速報値として広まり、「約6割の企業が対策投資をしていない」という認識につながっています。

しかし、今回発表された企業規模別の回答結果を見ると、全く異なる景色が見えてきます。調査では、中小企業庁の定義に基づき、中小企業を「100名以下」と「101名以上」に二分し、小規模事業者と合わせて3つの区分で分析を行っています。

各区分での「投資していない」と回答した割合は以下の通りです。

この結果から明らかになるのは、企業規模が大きくなるにつれて、情報セキュリティ対策投資を行っている企業の割合が顕著に増加するという明確な傾向です。

全体の「投資していない」割合が約6割と高くなっているのは、調査対象企業の中に小規模事業者の割合が最も多いこと（有効回答数4,191件のうち、小規模事業者が2,775件を占める）が大きく影響していると考えられます。速報版では、この全体の集計結果のみの公開であったため、既述のような結果に見えたのだと思います。

つまり、小規模事業者を除いた中小企業（100名以下や101名以上）に絞って見ると、情報セキュリティ対策投資は小規模事業者と比較して一定程度進んでいると読み取ることができます。

特に、中小企業（101名以上）では、約8割の企業が対策投資を行っており、情報セキュリティ対策について、比較的積極的に取り組んでいる状況が伺えます。

速報を見たときに感じた投資意欲の無さからは一転し、日本の中小企業にとってもセキュリティ活動への投資は進んでいることが分かりました。

別の回答結果では、投資を行わなかった理由についても詳細がまとめられていました。

中小企業（100名以下）と中小企業（100名以上）が投資を行わなかった理由には、「費用対効果が見えない」ことや、「どこからどう始めたらよいかわからない」と回答した方の割合が多いことが見て取れます。やったほうが良いはずだが、効果や方法が分かっていないという結果に対し、サービス提供者側がよりわかりやすく、寄り添った方針を指し示すことが必要であると考えます。