あなたの企業は大丈夫？中小企業の情報セキュリティ対策の実態とは？-その２-

Information-security-measures-for-SMEs_2

前回の記事では、IPAが発表した中小企業における情報セキュリティ対策に関する実態調査について紐解いてきました。
全体の7割程の企業が、100万円未満程度しかセキュリティ投資をしていないことがわかりました。
その投資もほとんどが、ウイルス対策やメールセキュリティに対しての投資となっています。
その他のセキュリティ投資はほとんど行われていないであろうことがレポートからも伺えます。
今回はその結果が何を示しているのかを解説して行きましょう。

情報セキュリティに関してどの程度の危機感を持っているか？

情報セキュリティについて考える場合、内部の不正行為と外部からの攻撃の2面で考える必要があります。

まず、内部の不正行為についての結果を見てみましょう。
P. 78 – 79 「（２）不正による漏えいの可能性」の結果を見ると、「あまりそう思わない」、「思わない」の回答がが多くを占めていることがわかります。この結果は P. 117 – 118「ルール違反に関する規定」で「規定されていない」という回答が半分以上あることにも反映されていると考えられます。
＜P.78-79＞

＜P.117＞

次に、外部からの攻撃についての結果をると、P. 80 – 81「（３）外部からの攻撃による漏えいの可能性」の結果を見ると、「あまりそう思わない」、「思わない」の回答がが多くを占めていることがわかります。
この結果は P. 112 – P. 113「（１）情報漏えい等の対応方法」の結果で「規定されていない」という回答が全体として7割程度あることにも反映されていると考えられますね。
＜P.80＞

＜P.112＞

さらに、これらの脅威に対してどう感じているのかという結果は、以下になります。

P. 156 – 167 「4.13 情報セキュリティに関する脅威」の結果を見ると、どの脅威の結果でも、「非常に大きな脅威である」、「どちらかといえば脅威である」が全体として7割から9割近く占めています。

P. 172 – 183「脅威対策の満足度」の結果を見ると、コンピュータウイルスについては全体として6割以上が「十分と感じる」「どちらかといえば十分と感じる」と満足度が高いです。しかし、不正アクセス、情報漏えい、内部不正になる満足度が高い割合は5割程度、DoS攻撃、標的型攻撃になると4割程度と低くなっています。

以上の結果から、ウイルス対策は現状のウイルス対策ソフト・サービスの導入で十分に対応できている、ということを表していると考えられるでしょう。

情報セキュリティに関してどの程度の理解度を持っているか？

P. 82 – 83 「（４）セキュリティへの理解度の高さ」の結果を見ると、全体として「ややそう思う」、「あまりそう思わない」がそれぞれ3割を占めています。

この結果から、情報セキュリティに対する理解度としては不安があるというのが大方の見方となっています。これは、コンピュータウイルス以外の脅威についても、情報としては入ってきており、脅威とは感じるものの、まだよくわからないということではないでしょうか。

まとめ

中小企業では、PCだけでなく、サーバの導入も進んでいます。
しかし、IT投資の面で制約があり、現状は比較的安価で効果が見えやすいウイルス対策やメールセキュリティの利用度が高いです。
しかし、教育や他の情報セキュリティに関する脅威への対策について、必要性は理解しているものの、まだ着手できていないというのが現状です。

特にインターネットに公開するサーバを自社で運用するには、ウイルス対策だけでは不十分で、DoS攻撃、標的型攻撃などの脅威についても対策する必要はあります。
しかし、アプライアンスやソフトウェアを準備するのは予算上適切ではないので、クラウドサービスといった初期コストがかからず、比較的安価なサービスを利用するのが得策です。

また、ウイルス対策は、ウイルス対策ソフト・サービスベンダーが既知のウイルスしか対応できないことを理解しなければなりません。
つまり未知のウイルスには対応できないので、いわゆる「ゼロデイ」攻撃には対応できないということです。
したがって、もし情報セキュリティに関する事故が発生した場合にどうするべきか、という策についても事前に打っておく必要があります。
中小企業にいる人も、そうでない人もこのレポートを元に改めて、セキュリティについて考えてみてくださいね！
それぞれの意識の変化によって環境は少しずつ変わっていくでしょう。

※グラフはIPAより抜粋（http://www.ipa.go.jp/files/000058502.pdf）