コラム

 公開日: 2016-04-07  最終更新日: 2016-06-02

2015年度中小企業のセキュリティ(2)-情報セキュリティに対する意識

前回の内容:
2015年度、中小企業における情報セキュリティ対策状況(1)-モバイルデバイス

今回は前回に引き続き、独立行政法人情報処理推進機構(IPA)の「2015年度中小企業における情報セキュリティ対策に関する実態調査」の結果に基づいた内容を確認します。今回は、情報セキュリティに対する意識について確認します。

なお、調査結果における「企業規模」について、以下の様な分類がされていること、ご留意ください。
企業規模分類

1.情報セキュリティ対策の十分性

現在、企業規模を問わず、情報セキュリティ対策が経営課題の一つとして重要であることを説明する必要はないでしょう。十分なセキュリティ対策が行われていなければ、経営上の大きなリスクとなる可能性があります。
「自社の情報セキュリティ対策が十分か」という質問に対して、「そう思う」と考えている中小企業は1割にも満たず、「そう思う」「ややそう思う」を合計しても4割前後という結果でした。一方で、自社のセキュリティ対策に満足していない企業は、どの階層でも5割前後(「あまりそう思わない」「思わない」の合計)でした。
セキュリティ対策の十分性

セキュリティ対策はどこまでやればいい、という正解はなく、常に動向が変化しています。その一方で、企業の資金やリソースには限りがあるため、十分できているという回答をし難い質問ではあります。それでも、約半数の中小企業が自社のセキュリティ対策に満足していないと考えていることは注目すべきだと考えます。

2.内部不正による情報漏えいの可能性

近年、従業員や外部委託業者などの内部不正による情報漏えい事件が頻発しております。こうした状況を背景にした、「社員の不正により営業上の秘密や個人情報などの情報漏えいが発生する可能性はないと思いますか」という質問に対して、約半数の企業が内部不正による情報漏えいの可能性を考慮しているようです。(「あまりそう思わない」「思わない」の合計)
内部不正による情報漏えいの可能性

企業規模別に見ると、小規模企業では内部不正の可能性が無いと考えている企業が2割もありました。これは社員数が限られているため、社員全員に目が届き、相互けん制もされていると考えていることが想定されます。また、個人事業で従業員がいない、身内や信頼できる知人と立ち上げた会社である、という理由も含まれていることが考えられます。
一方で、企業規模が大きくなるにつれて、内部不正の可能性を考える企業が増加しており、従業員101名以上の中小企業では約55%となっております。これは小規模企業とは逆に社員全員に目が届きにくいという状況が背景にあると考えられます。

3.サイバー攻撃を受ける可能性

標的型メール等、外部からのサイバー攻撃による不正アクセスや情報漏えいの事件も増加しており、その手口は進化しています。こうした状況を背景にした、「外部からサイバー攻撃を受け、情報漏えいが発生する可能性はないと思いますか」という質問に対して、「あまりそう思わない」「思わない」の合計した半数以上の中小企業はサイバー攻撃を受ける可能性を認識しているという回答でした。
サイバー攻撃を受ける可能性

企業規模が大きくなるにつれ、サイバー攻撃を受ける可能性を認識する企業の割合が高くなる傾向があり、従業員101名以上の中小企業では、約6割という結果になっております。
中小企業の方とお話をすると、「我が社にはそれほど重要な情報はないから」と謙遜(?)する意見を伺うことも多いのですが、外部からのサイバー攻撃には直接的な被害だけでなく、本来のターゲット企業や組織を攻撃するための踏み台として利用されることもあります。他社の攻撃に自社が利用されないためにも、サイバー攻撃に遭うことを前提に、どう撃退するかを含めたセキュリティ対策を検討することが重要です。

4.情報セキュリティ対する理解度

企業や組織で情報セキュリティ対策が思うように進まない理由の一つとして、情報セキュリティの内容に対する理解が十分でなく、対策にかかるコストや期間の大小で判断されるという意見があります。「情報セキュリティへの理解度は高いと思いますか」と言う質問に対する回答は、理解度が高いと考えている中小企業(「そう思う」「ややそう思う」の合計)と、理解度は高くないと考える中小企業(「あまりそう思わない」「思わない」の合計)との割合はどちらも約48%であり、ほぼ同じでした。
情報セキュリティ対する理解度

企業規模別に見ると、企業規模が大きくなるにつれて理解度が上がる傾向にあり、従業員101名以上の中小企業では、5割を超えています。一方で、理解度が高くないと考えている中小企業はどのようにして情報セキュリティ対策を考えていくのか、興味のあるところです。

アンケート結果に基づく考察

今回は中小企業における情報セキュリティの意識レベルを中心に確認してみました。
最初の情報セキュリティ対策の十分性に関する質問で、どちらかと言えば十分であると考えている中小企業が約4割という結果でしたが、実際はこの4割の方に情報セキュリティ面で危うい中小企業が含まれているかもしれません。この調査では質問に対する回答の相関性に関する情報が開示されていないので、想像ベースになってしまいますが、情報セキュリティ対策で「十分」と考えている中小企業が内部不正による情報漏えいの可能性は「ない」、サイバー攻撃を受ける可能性は「ない」と回答している可能性があります。上記で提示した通り、情報セキュリティ対策に終わりはありません。現在の「十分」は明日には不足になる可能性もあります。その意味では、「十分でない」と考える企業の方がより事実を認識している企業である可能性があります。

内部不正による情報漏えいについて、自社では起こらないと考えている中小企業が3割以上もあります。今回具体的に紹介しておりませんが、個人情報の保有件数に質問したところ、平均すると1社当たり15万件以上の個人情報を保有している結果となっております。件数以上に重要なのは、「あの会社が保有する」個人情報としての価値です。例えば、ベネッセ社の顧客情報漏えい事件では件数の大きさが話題になりましたが、関係者にとっては「子供の情報」「子供がいる家庭の情報」が重要性を持つのです。報道等では被害の大きさに注目するため件数に目が行きがちですが、実際に価値を持つのは「どういう素性の」個人情報なのか、ということです。その意味では会社の規模は問題ではありません。自社では取るに足らないと考えているかもしれない情報でも、外部から見れば宝の山ということも十分ありうるのです。そして、漏えいした情報は何らかの形で悪用されることになります。こうした認識の上で、内部不正対策について検討することが必要です。

サイバー攻撃に対して自社が被害を受ける可能性が「ない」と考えている中小企業が3割以上もあることも注目です。上記で述べたように、外部からのサイバー攻撃は直接的な情報資産を求めるばかりでなく、本来のターゲット企業や組織を攻撃するための踏み台として利用することを目的として行われるからです。サイバー攻撃者は自分の素性を知らせないため、ターゲット企業や組織に直接攻撃することはなく、幾つもの第三者のサーバーを踏み台にして攻撃を行います。そのため、踏み台として利用できるサーバーを幾つも準備する必要があります。よって、何らかのサイバー攻撃を受けることを前提にして、「重要情報まで侵入させない」「不正に利用できない」対策を行うことが重要です。

参考:
独立行政法人情報処理推進機構(IPA)、「プレス発表 「2015年度 中小企業における情報セキュリティ対策に関する実態調査」を公開

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・情報セキュリティに関する規程やルール等の策定、改訂
・情報セキュリティ環境の現状調査と改善提案
・従業員に対するセキュリティ教育
詳細は、弊社ホームページの「コンサルティングサービス-リスク管理」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

0

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
パスワードの再確認~女性芸能人のデータ盗み見事件に関連して
イメージ

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データ...

[ セキュリティ ]

マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ