コラム

 公開日: 2016-04-11  最終更新日: 2016-06-02

2015年度中小企業のセキュリティ(4)-情報セキュリティに関する取組状況

前回までの内容:
2015年度、中小企業における情報セキュリティ対策状況(1)-モバイルデバイス
2015年度、中小企業における情報セキュリティ対策状況(2)-情報セキュリティに対する意識
2015年度、中小企業における情報セキュリティ対策状況(3)-情報セキュリティの被害状況

今回は前回に引き続き、独立行政法人情報処理推進機構(IPA)の「2015年度中小企業における情報セキュリティ対策に関する実態調査」の結果に基づいた内容を確認します。今回は、情報セキュリティに関する情報をどう収集し、社内にどう展開するか、という観点で確認します。
なお、調査結果における「企業規模」について、以下の様な分類がされていること、ご留意ください。
企業規模分類

1.情報セキュリティの社内体制

企業や組織内で一貫した、体系的な情報セキュリティの仕組みを構築して継続運用するには、主体的に活動する担当部門や責任者の任命が必要です。情報セキュリティに関する体制の有無について確認したところ、約45%の企業が専任、または兼任の担当者が存在するという回答でした。
情報セキュリティ体制の有無
企業規模別に見ると、従業員101名以上の中小企業では6割以上の企業が専任または兼任のセキュリティ担当者を任命している一方で、小規模企業になると6割以上の企業が担当者を任命していないという結果でした。小希望企業の場合、リソース制約から専任者を配置するのは困難だと思われますが、セキュリティ施策や事故対応等を取り纏め、対処する担当者を決めることは重要であると考えます。

2.情報セキュリティに関する情報収集等

情報セキュリティに関しては、事業として取り扱わない企業の場合、社内リソースで対処することは困難です。専門性の高い従業員を訓練したり、採用したりすることができればいいのですが、その余裕もない場合は外部のリソースに頼らざるを得ません。
情報セキュリティに関する相談相手について確認したところ、5割近くの中小企業は「特にない」という回答であり、続いて「社内の担当者」という回答が約4割という結果でした。
情報セキュリティの相談先
外部の相談先のうち、ITコーディネーターや商工会議所等、ITの専門家を活用する企業があまりにも少ないように感じます。法的な問題であれば弁護士、会計の問題であれば会計士や税理士に相談するのと同様、専門領域に関する課題は専門家に相談するべきだと考えます。もちろん、コストの問題もありますが、自力で対処するための時間やリソースを考えると、決して高いモノではないと思います。弊社でもセキュリティ相談であれば安価にサービスを提供しております。外部リソースの活用について検討することをお勧めします。
なお、ITベンダに相談する企業も少なくありませんが、相談で終わらない可能性もあります。中には、企業側の課題とはかけ離れた製品やサービスを提案することもあるので、注意が必要です。

情報セキュリティに関して相談先がない、または社内担当者である場合、情報セキュリティに関する情報を様々なリソースを使って取集し、常に最新の脅威に対して対処できることが重要です。
情報セキュリティに関する情報収集先について確認したところ、社内担当者に依存する企業が約4割、「特にない」と回答した企業が約35%という回答でした。特に小規模事業者では、ほぼ半数の企業が「特にない」という回答でした。
情報セキュリティの情報収集先
こちらでも社外の専門家を活用する企業は少なく、インターネットによる情報収集に依存する企業が約3割という結果となっております。汎用的な情報であればインターネット上の情報を活用することは効果的です。一方で、自社の事業環境や業界に適合した内容が知りたい場合は、専門家に頼ることも必要ではないかと考えます。

3.情報セキュリティ教育の実施状況

情報セキュリティについて、様々な形で収集した情報は自社の情報セキュリティの整備と構築に役立てるとともに、社内に対して展開する必要もあります。
情報セキュリティに関する社内教育について確認したところ、e-ラーニングを行っている企業は約1割、社内研修等を行っている企業は約2割であり、仮に重複がなかったとしても、社内教育を行っている企業は最大で3割弱でした。一方で、6割近くの企業は情報の周知さえ行われていません。特に小規模企業では、8割以上の企業が「特に実施していない」という回答でした。
情報セキュリティ教育の実施状況
例えば特定のコンピュータウィルスに関する情報など、緊急のセキュリティ情報であればメールや掲示板による周知も重要ですが、単なる周知だけでは一過性になる可能性が高いので、年1回等、定期的な研修を行って従業員に意識付けを行うことも、企業として重要な活動であると考えます。

アンケート結果に基づく考察

情報セキュリティに関する専任または兼任の担当者も配置せず、自社の情報セキュリティに関する施策や課題についての相談先もない企業が非常に多く存在しています。特に小規模企業については、情報セキュリティの担当者が配置されている企業は全体の2割に過ぎず、また7割以上の企業では相談先がない状況でした。
例え企業規模が小さくても、顧客等の個人情報や機密情報を守るためには、何らかの情報セキュリティに関するルールが必要です。また、その情報セキュリティルールを策定し、改善するとともに、ルールに基づいた施策を実行し、事故が発生した場合にはこれに対処するため、兼務でもいいので情報セキュリティに関する担当者を任命することが重要です。同時に、社内リソースでは対応しきれない場合は、外部の専門家を積極的に活用することが重要です。外部の専門家を活用することで自社リソースではできない高度な対応が実現できるとともに、自社のリソースは自社の事業に集中させることもできます。
いま一度、自社の情報セキュリティに取り組む体制を再確認し、必要に応じて見直すことをお勧めします。

また、社内で様々な情報セキュリティに関する施策を実施しても、最終的には個々の従業員の活動内容が大きな意味を持ちます。例えば、電子メールの添付ファイルに埋め込まれたウィルスについて、ウィルス対策ソフトを最新状態にすることで予防することも可能であり、従業員がクリックするかどうかの適正な判断を行うことも重要です。時には、従業員の判断ミスによってウィルスが取引先のネットワークに侵入し、迷惑をかけるばかりでなく、取引先の喪失という事態になる可能性もあります。こうした事態を回避するためには、e-ラーニングや集合研修等の社内教育を実施し、体系的な知識を植え付けることが重要です。
しかしながら、中小企業のおよそ6割はセキュリティ教育を実施しておらず、特に小規模企業では8割以上がセキュリティ教育を行っていないという状況です。今回の報告書では情報セキュリティ教育と、前回紹介した被害状況との因果関係は明示されていませんが、恐らくはセキュリティ事故を経験した企業はセキュリティ教育も十分ではなかったと想定されます。

サイバー攻撃者は企業の大小に関わらず、脆弱性の高い企業に攻撃を仕掛けることで、本来の目標とする企業への侵入や情報の搾取を実現しようとします。つまり、自社の情報セキュリティレベルを高めることは、自社だけでなく関係する取引先や顧客にも恩恵を与えることにつながります。情報セキュリティに対する取組について現状を再確認し、できる範囲でレベルアップを図るための活動を行ってみては如何でしょうか。

参考:
独立行政法人情報処理推進機構(IPA)、「プレス発表 「2015年度 中小企業における情報セキュリティ対策に関する実態調査」を公開

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・情報セキュリティに関する相談や情報提供
・情報セキュリティに関する規程やルール等の策定、改訂
・情報セキュリティ環境の現状調査と改善提案
・従業員に対するセキュリティ教育
詳細は、弊社ホームページの「コンサルティングサービス-リスク管理」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

0

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

「ポケモンGO」の偽アプリや偽サイトに注意!

海外で先行配信されていたスマートフォン向けゲームアプリ「ポケモンGO」が日本で配信開始され、社会現象となって...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ