情報処理推進機構（IPA)では従業員300人以下の中小企業を対象に情報セキュリティに関する調査を行い、報告がなされています。セキュリティ対策や意識等、多岐にわたるアンケート調査となっています。中小企業に対するサイバー攻撃の現状としては興味深い結果が出ています。

中小企業においては、その規模にほとんど関わらず、サイバー攻撃の被害に遭っていない、正確には１％前後の企業しかサイバー攻撃の被害に遭っていないと答えています。しかし、被害はともかく、サイバー攻撃の受けたと答えている企業においては、101人以上300人の規模であれば19.0％であるのに対して、100人以下の企業では7.0％であり、規模の小さい企業ほどサイバー攻撃を受けていないと答えている点です。中小企業ではなく、大企業であれば、昨今のほとんどの調査で、少なくとも70％以上の会社が何がしかのサイバー攻撃を受けたと報告しています。

わからないを含めれば、100人以下の中小企業では、ほぼ90％以上の企業がサイバー攻撃を受けていないと認識しているのです。これは大きな問題です。この調査結果が、90％の中小企業がサイバー攻撃を受けていないのであるならば問題はありませんが、そうではなく認識できていないという結果を表しています。恐らく楽観的に考えても、このサイバー攻撃に無縁と答えた企業の半数以上、悲観的に考えれば、そのほとんどがサイバー攻撃を受けていることでしょう。

これを裏付ける別な調査が大阪商工会議所から報告されています。

今回、大阪商工会議所の調査では、中小企業でも従業員数50人以下の中小企業で、建設、製造、卸売、そしてサービス業を中心に各種業種に及んでいます。その中で、上記のグラフのように30％近くが被害に遭っているのです。大阪商工会議所の調査では、設問数を15以下の選択制で行い、回答が容易で、かつ事実を述べやすいように工夫しています。その中で実数として315社中97社がサイバー攻撃の被害を受けており、特にランサムウェアに感染したと述べている企業が22社(6.8％)もあることです。

大阪商工会議所の調査では、情報セキュリティ対して、約８０％の企業がそのリスクを認識していますが、ちょうど同じ約80％の企業がアンチウイルスソフトの導入で対策を行い、ほとんどそれだけで済ませている企業も全体の30％に達しています。リスクを認識している企業の大半は、アンチウイルスソフトの導入程度の対策しか取られていないということです。

IPAの調査と大阪商工会議所の調査を合わせて考察するに、規模の小さな中小企業ほどサイバー攻撃に対するリスクは認識しているものの、実際にサイバー攻撃を受けていても、それを認識できず、さらに少なくない割合で、そのサイバー攻撃が成功していると考えざる得ないでしょう。中小企業のサイバー攻撃対策は緊急かつ重要な課題なのです。