- 会員限定
- 2009/11/20 掲載
66社の面接調査で見えてきた中堅・中小企業のセキュリティ対策の実態:中堅・中小企業市場の解体新書(7)
記事をお気に入りリストに登録することができます。
連載の3回目では「今そこにあるリスク」でセキュリティを取り上げたが、今回はその全国調査の結果を取り上げたい。要するにIT投資が減少するマインドの中で、ITセキュリティに投資をするかということだが、結果としては予想通り優先度は低い結果となった。さらに問題なのは、実態としても対応が十分でないところが多いことだ。
ノークリサーチ 代表取締役社長
ノークリサーチ代表。大手市場調査会社を経て,98年にノークリサーチを設立。IT市場に特化した調査,コンサルティングを展開。特に中堅・中小企業市場の分析を得意としている。
※本稿の詳細は「中小企業における情報セキュリティ対策の実施状況等調査(PDF)」(IPA(独立行政法人 情報処理推進機構)セキュリティセンター(企画、設計、実施:ノークリサーチ))を参照していただきたい。この調査結果をみれば、中堅・中小企業における情報セキュリティの本質的な問題点、課題が鮮明に表れている。
対応が遅れている中堅・中小企業のセキュリティの実態
10月30日にIPA(独立行政法人 情報処理推進機構)セキュリティセンターが発表した調査「中小企業における情報セキュリティ対策の実施状況等調査」をノークリサーチが企画、設計、実施したので、調査を担当した者として改めてご紹介したい。
本調査のポイントは、中堅・中小企業のセキュリティの実態を把握すること。そしてIPAで進めているセキュリティガイドラインや自己診断シートの活用を促すことで、セキュリティの重要性の啓発と気付きを与えることであった。
IPAのリリースの前書きでは「近年の情報化の進展は中小企業にも大きな影響を与え、電子メールでの受発注、財務会計システムの導入による経理業務の効率化、会社のWebサイトを立ち上げての営業活動など、さまざまな業務でITが活用されている。その反面、たとえばコンピュータウイルス感染による顧客データや文書ファイルのインターネットへの流出・漏えいや、情報システムの停止、データの破壊等が発生した場合、顧客からの信頼を大きく失墜することとなるため、中小企業であっても、情報セキュリティ対策に自社の問題として取り組むことが必要」としている。
この趣旨を受けて、今回の調査では全国の300人以下の中堅・中小企業66社を対象に、2009年4月から9月までの間に情報セキュリティの実態を面接で調査分析した。
まず実態把握のために、IPAの作成した自社診断シートで調査対象企業に回答してもらった結果(図1)、IPAが合格目標とする70点以上の点数を獲得した企業は3割程度(66社中23社)に過ぎなかった。対策項目別では、社内でのルール化や重要情報の明確化など、組織全体として取り組むべき項目が未実施となっている傾向にある。また、社内への外部者の立入管理や重要情報(資料等含む)の管理について、意識が低い企業が多かった。
|
社内でのルール化については、「情報セキュリティ対策を会社のルールにするなどのように、情報セキュリティ対策の内容を明確にしていますか?」という問いに対して、「実施していない」と回答した企業が66社中38社と過半数の企業でみられた。
企業属性(従業員規模、地域、業種等)によるセキュリティ実施度合については、明らかな傾向は確認できなかったが、業務の特性から個人情報を多数保有しているような、ITの活用度合の高い企業においては、セキュリティ対策が進んでいる傾向がみられた。たとえば、オンラインショップを運営する企業など、経営のコアビジネスとITが近い企業ほど、セキュリティ対応が進んでいるということだ。それは個人情報などの機密情報を適切に保護しながらITを利活用して経営に活かしている企業に特に顕著である。そうした企業は、ITがツールというより、ITが企業の根幹を成しているので、セキュリティ対策をせざるを得ない状況にあると言える。
では、それも含めて、実際にセキュリティ上の問題はどの程度起こっているのだろうか?幸いなことに、その視点では、今回の調査対象企業の中で特に企業の存続に関わるような深刻な情報セキュリティ上の事故は見当たらなかった。
確かに情報漏えいになりそうな機材の盗難や、ウイルス感染によるシステムダウンなどの事例があったが、特に大きな被害には繋がっていなかったのである。ただ、大きな被害に至っていないことが、逆に危機認識の過小評価を招き、セキュリティ対策が進んでいないという見方もできる。実際、事故が起こった場合の連絡事項やエスカレーション(上層部への報告等)などを明文化していない企業も多かった。
中堅・中小企業のセキュリティ対策問題の本質
今回の調査では「情報セキュリティというのは、そこまで対策を講じる必要があったのかということが分かった」という回答が多かったことから、セキュリティ対策が十分でないという事実もさることながら、その認識の低さがセキュリティの問題として浮き彫りになった。
こうしたセキュリティのクリティカル性を理解していない(怖さを認識していない、事業停止の危機の欠如、経験がないので自社には起こらない出来事と思っている)企業にどのようにその重要性を認識させ、対応させることができるかが、日本の中堅・中小企業のIT化にとって、切実な問題である。
とある企業がこぼした「B2Bなので個人情報の扱いがない(少ない)ので、セキュリティを重要視していない」という点も気になるところだ。まず、企業活動において、個人情報が無いということはあり得ない。また、こうした企業は、時として個人情報以上に重要な情報資産が自社にありうることに気づいていない。
確かに、今回の調査の事例では、企業の存続に関わるような深刻なトラブル事例は見当たらなかったため、保険のように「有事に備えて」進んでセキュリティ対策を充実させる動きにつなげにくいのかもしれない。BCPという観点で、天災や火事などでデータ消失という危険性についても、その意識を聞いているが、たとえば大地震にみまわれた新潟などを除き、多くは自分の会社には起こらない出来事として、低い意識にとどまっている。情報漏えいについても同様で、性善説で捉えている企業が多いため、自社には起こり得ないものとみている傾向があり、あらゆる面で楽観的な見方が支配していたというのが、現場の心証である。
確かにリスクを認識した上で、リスク容認するのは経営判断の一つの結果かも知れない。しかし、現状では経営基盤であるITシステムの抱えるリスクそのものが正しく認識されていない可能性が高い。この点が、最大の問題なのである。
関連タグ
関連コンテンツ
あなたの投稿
PR
PR
PR
