あなたの企業は大丈夫？中小企業の情報セキュリティ対策の実態とは？-その１-

2017年7月7日、IPAより2016年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について公開されました。
今回はその調査結果を読み解き、中小企業における情報セキュリティ対策の問題と課題を明らかにしていきたいと思います。
調査結果に関してまとめられた資料（http://www.ipa.go.jp/files/000058502.pdf）を見ながら解説していきましょう。

サイバー攻撃の被害に遭うことが多いのは官公庁や大企業と見られがちです。
しかし、たとえ直接の攻撃目標が官公庁や大企業だったとしても、攻撃者は直接それらにアクセスすることはせず、犯行の隠蔽のため、攻撃者とは無関係のパソコンを踏み台にしてアクセスすることが多いです。
攻撃者が踏み台として選ぶのは、適切なセキュリティ対策が施されていないパソコンです。

中小企業は日本の企業の大多数を占め、かつセキュリティ対策に社内のリソースを割り当てることに対してハードルが高いことが多いです。このために最低限のセキュリティ対策すら施されていないとすると、攻撃者の踏み台として中小企業のサーバなどが狙われる可能性が高いことが考えられます。

そのようなことから、IPAは中小企業を対象として情報セキュリティに関する実態や実施時の課題、経営層の認識等を把握し、必要な対策を施すため、調査を実施しました。
その結果、規模の小さい企業ほど情報セキュリティ対策への取り組みが不足している状況が確認されたのです。

今回、この調査結果から中小企業の情報セキュリティに関してどのような実態と課題があるのか見ていきましょう。

今やパソコンはどの企業でも普通に使われているものになっています。
実際の調査結果（P. 29）を見ても、規模の大小に関わらず、ほぼ9割以上の企業がパソコンを利用していると回答しています。
このような状況から、どの企業でも最低限、パソコンに対する情報セキュリティ対策が必要となっています。その最低限の対策とはパソコンへの最新セキュリティパッチの適用を指します。

P. 33「（３）PCへのセキュリティパッチの適用状況」がその調査結果です。

この調査での、 望ましい回答としては「常に適用し、適用状況も把握している」です。それ以外の回答としては、対策は取れていないということに変わりありません。
この結果を見ると、対策がとれているといえるのはほぼ4割、規模が大きくても5割程度の企業しかないという結果でした。
ただし、P.34の業種別でみると、情報通信業だけが6割を超えているという結果が出ています。
これは業種として、情報セキュリティに関する情報が入りやすかったり、自社だけでなく関係会社で情報セキュリティに関する事案に直面しやすかったりする傾向があるからだと考えられるでしょう。

サーバの利用も進んでおり、小規模企業でも3割、規模が大きくなるにつれて6割〜8割以上の企業がサーバを利用していると回答しています。

このように利用が進んでいるサーバですが、もちろんこれらにもセキュリティの対策は必要です。
特にインターネットに公開しているサーバの場合は重点的に対策しなければならないでしょう。なぜなら、対策が不適切なサーバが一番サイバー攻撃に狙われやすいからです。

P.48「セキュリティパッチの適用-a」がインターネットに公開しているサーバに関する調査結果です。
企業規模別に見ると、規模に関係なく3割程度の企業が「ほぼ全サーバに適用している」と回答しています。

そのほかに、「アプリケーションに影響がないことを確認できたもののみを適用している」、「情報セキュリティ対策上重要なもののみを適用している」というのが回答としてあります。
このような対策の場合、抜け漏れなく適用するためにはセキュリティパッチの選定の正確な情報を持っていないとなりません。
さらに、選定にも時間がかかると想定されます。
万一抜け漏れがあった際に攻撃を検知できる手段を持って無いこともあるので、中小企業での対策としては望ましくはないでしょう。できるのであれば、セキュリティパッチは全て適用させるべきでしょう。

P.70 – 71「（３）情報セキュリティ対策投資の有無」を見ると、どの規模の企業でもほぼ7割〜8割がIT投資の中に情報セキュリティ対策投資が含まれると回答しています。

しかし、P.72 – 73「（４）対策投資額」の結果を見ると、全体として100万円未満の企業が最も多く7割程度となっていました。
この額だと、おそらくほとんどがウイルス対策ソフトのライセンス費用になっているでしょう。

実際、P. 137 – P. 140「4.9 製品・サービスの導入」の結果によると、全体として、「ウイルス対策ソフト・サービスの導入」が8割を占めています。

インターネットに公開しているサーバへの対策を考えると、もう少し金額が上がっていないと、危険なサーバが多く存在している可能性があるといえます。
さらに、専任の担当者を置く費用や情報セキュリティ教育の費用といったことを賄うこともできなくなります。

P.97- 98「4.1 体制」の結果を見ると、「専門部署（担当者）がある」の回答は全体として1割もなく、「組織的には行っていない（各自の対応）」の回答が5割を占めていること、P. 109 – 111「情報セキュリティ教育」の結果で「特に実施していない」の回答が全体として6割を占めていることがそれを示していると考えられます。
＜P.97＞

＜P.109＞

自社で賄うことが困難な状況の場合は、外部業者へ委託することになりますが、内容によっては費用が高額になるので、そこまで到達できていないでしょう。

P.144 – 148「（３）委託している内容」の結果を見ると、固定のサービスとして安価に提供されているウイルス対策、メールセキュリティの各サービスは利用度が比較的高く５割程の企業が利用しているという回答がありました。しかし、それ以外のサービスとなると著しく低い割合となっています。

この結果は何を示しているのでしょうか？
情報セキュリティに関して、危機感の不足、理解度不足、が関係しているのでしょうか？
次の調査結果では、それを見ていきます。

⇒記事の続きはこちらから

※グラフはIPAレポートから抜粋（http://www.ipa.go.jp/files/000058502.pdf）

（2017/8/15 執筆、2019/9/10修正・加筆）