コラム

 公開日: 2016-04-12  最終更新日: 2016-06-02

2015年度中小企業のセキュリティ(5)-情報セキュリティ対策の実施状況

前回までの内容:
2015年度、中小企業における情報セキュリティ対策状況(1)-モバイルデバイス
2015年度、中小企業における情報セキュリティ対策状況(2)-情報セキュリティに対する意識
2015年度、中小企業における情報セキュリティ対策状況(3)-情報セキュリティの被害状況
2015年度、中小企業における情報セキュリティ対策状況(4)-情報セキュリティに関する取組状況

今回は前回に引き続き、独立行政法人情報処理推進機構(IPA)の「2015年度中小企業における情報セキュリティ対策に関する実態調査」の結果に基づいた内容を確認します。今回は、情報セキュリティ対策に関する社内の実施状況について確認します。

なお、調査結果における「企業規模」について、以下の様な分類がされていること、ご留意ください。
企業規模分類

1.IT投資におけるセキュリティ対策投資の状況

事業活動や情報発信にITは不可欠であることから、企業は毎年それぞれの事業環境に応じたIT投資を行っていると考えられます。その中には、情報セキュリティに関する投資も要求される一方で、情報セキュリティはリターンを期待する性質のものではないため、なるべく投資を抑えたいという考えもあります。
過去3年でIT投資を行ったか、その中で情報セキュリティ対策が含まれているか、という質問に対して、IT投資を行った企業は全体の約35%であり、そのうちの8割がセキュリティ対策を含むIT投資を行ったという回答でした。なお、質問でのIT投資について定義が記載されていませんが、他の質問や回答内容から推測すると、既存のIT資産やITサービスに費やされる定常的なコスト以外の、新規に情報システムを導入した、新たなITサービスを利用し始めた、といった内容を対象にしているようです。
IT投資とセキュリティ対策投資
企業規模別に見ると、企業規模が大きくなるにつれてIT投資を行う企業は増加する傾向にあります。小規模企業ではIT投資を行う企業は全体の20%強ですが、従業員101名以上の中小企業では、その割合は40%を超えています。IT投資を行う企業のうち、セキュリティ対策を含む企業は、どの企業規模でも80%前後でした。
一方、小規模企業の6割以上はIT投資を行っていないという回答でした。サイバー攻撃も毎年のように手口が巧妙化、多様化する中で、過去3年間既存のIT環境でセキュリティ対策を実施するのは大変だと思います。セキュリティ対策はどうしても追加コストと認識されがちですが、人的な対応では限界もあり、また、機会費用の損失も大きくなります。セキュリティ対策に対する追加的な投資の費用対効果を分析し、人的リソースを事業活動に注力するよう、検討してみてはいかがでしょうか。

2.実施している情報セキュリティ対策

一言で情報セキュリティ対策と言っても、その内容は様々です。セキュリティポリシーや情報システム利用に関する規程等のルール策定もあれば、オフィスや施設の入室、入館に関わる管理手順もあります。策定したルールが実際に遵守されているかを確認するための監査活動もあります。
実施している情報セキュリティ対策の内容について確認したところ、「特に実施していない」と回答した企業が全体の4割を超えていました。一方、企業内のセキュリティに関する方針を策定した「セキュリティポリシーの策定」を実施する企業は全体の3割にも届きませんでした。
実施している情報セキュリティ対策
企業規模別に見ると、小規模企業の6割以上はセキュリティ対策を実施しておらず、セキュリティポリシーの策定も1割程度でした。一方、従業員101名以上の中小企業では、セキュリティポリシーを策定する企業の割合は4割を超えており、ここでも企業規模の大きさによって実施状況が変わる傾向がありました。
セキュリティ監査を実施する企業は全体の1割にも届きませんでした。また、顧客情報の漏えい事件では内部不正、特に外部委託先による不正行為が散見されていますが、委託先の情報セキュリティ状況を確認したり、NDA(機密保持契約)を締結したりする企業は全体の5%にも満たず、外部委託先の管理について十分でない印象を受けました。

3.情報セキュリティ製品やサービスの導入状況

情報セキュリティ対策を実現する上では、専用の製品を購入したり、サービスを利用したりすることが必要となります。
実際に導入している情報セキュリティ製品や、利用する情報セキュリティサービスの内容について確認したところ、ウィルス対策ソフトの導入をしている企業は全体の8割近くであり、次いでファイアウォールの設置が45%、ウェブ閲覧フィルタリングソフトが25%、メールフィルタリングソフトが約24%と言う結果でした。なお、メールフィルタリングソフトについては、誤送信防止対策やスパムメール対策の機能を持つ製品を含んでいます。
情報セキュリティ製品やサービスの導入状況
企業規模別に見ると、何も導入していないと回答した小規模企業は全体の約1/4でした。また、IDSやアクセス管理ツール等、特定のセキュリティ対策に特化した製品やサービスについては、それぞれ10%にも満たない結果となっています。

4.PCへのセキュリティパッチ適用状況

サイバー攻撃の手段の一つとして、コンピュータに導入されているOSやアプリケーションソフトの脆弱性を衝いて不正アクセスや情報漏えいを行う手法があります。こうした攻撃のリスクを低減させるには、Windows Update等のセキュリティパッチを適用することが重要です。
PCに対するセキュリティパッチの適用状況について確認したところ、「常に適用し、適用状況も把握している」企業が約30%であり、「常に適用する方針・設定だが、実際の適用状況は不明」という回答と併せると、全体の半数近くの企業がセキュリティパッチを適用することになっているという回答でした。
PCへのセキュリティパッチ適用状況
一方で、セキュリティパッチを適用していないと回答した企業は全体の約14%であり、特に小規模企業では20%を超えています。こうした企業に対してその理由を確認したところ、小規模企業では「パッチを適用しなくても問題ないと判断したため」、従業員101名以上の中小企業では「パッチの適用が悪影響を及ぼすリスクを避けるため」という理由が高い結果となっていました。後者については情報システム導入状況に由来すると考えられます。
インターネットに接続するPCならば、セキュリティパッチを適用しないと不正なサイトへのアクセスや悪意のあるメール受信によって脆弱性をついた攻撃が行われるリスクが高まります。また、セキュリティパッチの公開は解決済みとはいえ、脆弱性の内容を公開することと同義であり、攻撃者は対応の遅れているPC等に攻撃を行うことが可能となります。そのため、セキュリティパッチの公開後速やかに適用すべきであると考えます。

アンケート結果に基づく考察

まずIT投資、及び情報セキュリティ対策投資の実施状況について、明暗の分かれた結果だという印象です。今回の調査では過去3年の投資状況を確認したのですが、IT投資を行う企業の8割は情報セキュリティ投資もセットで行われていることから、情報セキュリティの整備の重要性について認知度が高くなってきた印象を受けます。一方で、過去3年に渡ってIT投資や情報セキュリティ投資の行っていない企業もかなり残存しています。資金の余裕のない中小企業では致し方ないことかもしれません。自社の情報セキュリティリスクについて評価した上で、現行のIT環境で工夫すれば対応できるのか、対処が難しいのかを見極めた上で、必要に応じて情報セキュリティ投資を行うのであれば問題ないとは思います。

同様にセキュリティ対策の実施内容や、製品・サービスの導入状況についても全体的に割合が低い印象を受けます。最近ではITを活用するハードルも低くなっており、ITの深い知識がなくても、インターネット通販等の事業を行うことが可能となっております。その場合、どうしても情報セキュリティ面での対応が不足がちとなる傾向があります。前回提示したように、情報セキュリティに関する相談や情報収集を十分に行っていない中小企業が数多く存在する状況です。インターネットを活用する事業を立ち上げる際には、情報セキュリティリスクについても検討することが必要です。

セキュリティパッチの適用についても、まだまだ実施率が低いように感じます。先に述べた通り、セキュリティパッチ公開は情報セキュリティ上の脆弱性が公にされることと同じ意味を持ちます。セキュリティパッチを適用しないことは、脆弱性を放置することにほかなりません。極端に言えば、ドアに鍵をかけない状況と同義です。サイバー攻撃を行う攻撃者は、セキュリティパッチが適用されるまでにこうしたセキュリティホールを衝いて不正アクセスを行おうとするのですから、格好の獲物となりかねません。セキュリティパッチの適用を行っていない場合は、社内のシステム担当者やシステム保守運用の委託業者と改善に向けた意見交換を行うことをお勧めします。

これまで数回にわたって、独立行政法人情報処理推進機構(IPA)が公開した「2015年度中小企業における情報セキュリティ対策に関する実態調査」報告書の内容を確認しました。以前より情報セキュリティに対する意識の高まりを感じる一方で、まだまだだな、という印象もあります。

情報セキュリティについては、「何も起きない」というのが効果であるため、積極的な投資を行いにくい分野ではあります。しかし、サイバー攻撃者はリアル世界の犯罪者と同様、「侵入し易いところから盗る」という考えです。しかも「盗られる」のは自社とは限らず、取引先や顧客の場合もあります。
弊社も情報セキュリティに関するサービスを提供しているので、何か支援を必要としているのであれば、あるいは、どのような支援が受けられるのかお聞きしたいということであれば、ぜひご連絡ください。

参考:
独立行政法人情報処理推進機構(IPA)、「プレス発表 「2015年度 中小企業における情報セキュリティ対策に関する実態調査」を公開

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・情報セキュリティに関する相談や情報提供
・情報セキュリティに関する規程やルール等の策定、改訂
・情報セキュリティ環境の現状調査と改善提案
・従業員に対するセキュリティ教育
詳細は、弊社ホームページの「コンサルティングサービス-リスク管理」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

0

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

「ポケモンGO」の偽アプリや偽サイトに注意!

海外で先行配信されていたスマートフォン向けゲームアプリ「ポケモンGO」が日本で配信開始され、社会現象となって...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ