コストをかけられない中小企業の生の声

　一方で、ある程度リスク分析できていたとしても、中堅・中小企業の限られた予算感の中ではセキュリティ対策が難しいという見方だ。実際、調査でも「セキュリティの重要性はある程度理解しているが、必要最低限は行っている。緊急に対応が必要とは感じていない。同時に投資する余裕もない」という回答が目立った。

　セキュリティは重要な課題という認識はあるものの、今後のセキュリティ投資については、現状維持かネガティブな反応なのである。「お金がない。必須度合が低い（優先順位低い）。重要性を認めないわけではないが、必須要件には入ってこない。」など、現在はより経営に響く（業績を上げたり、コストを削減する）IT投資に目が向いているのが本音のようだ。

　「お金をかけずにセキュリティレベルを上げられる施策、方法なら検討する」という意見も多い。つまり情報セキュリティ対策への投資に限らず、情報投資全般が優先すべき投資項目で無いために、情報セキュリティへの投資意欲はおおむね低かったのである。

　さらにIT担当者が問題意識を持っていても、情報セキュリティ対策に対する経営層の認識する投資優先順位が低いため、対策が進まないという声もあった。代表的なコメントでは「セキュリティ対策について、IT担当者としては、経営層に進言している。経営層も納得はするものの、コストがかかるとわかった時点で、優先順位が下がってしまう」のである。つまり重要性の認識が無いわけではないが、具体的なアクションに及ばずという実態が見受けられた。

　具体的に見てみると、属人的な要素で、セキュリティの対応や充足度合が大きく左右される。特に300人以下を対象とした今回の中小企業の情報システム部門は、少ない場合は担当者なし（兼任）から、多くて3名、大半が1～2名であることから、担当者（兼任者）のスキルや情報セキュリティ対策に対する積極性によって、決定的な差が出ている。

　また企業側からは、社内教育の難しさや、対策項目の優先順位が分からない、対策ノウハウの欠如なども課題としてあげられた。今回の調査を受けてBCPの観点が抜けていたことに気付いたので、今後の課題としたいという回答もあった。

　また、今回の調査以前に既にIPAの自社診断シートを入手している企業も数社存在したが、いずれも「もらって来たものの、難しそうなので読んでいなかった」と言うように自ら実施するまでに至っていなかった。

　情報セキュリティに関連する情報入手手段などについても、たまに地域のSIerなどによる提案がある程度という状況であり、情報セキュリティ対策の指導者が身近に存在しない例が多い事が確認された。

　「セキュリティの指導を促す資料は参考にはなったが、どこから手をつければ良いのか分からない。そもそも本当に必須な対応なのかが、判断がつかない」という声も見受けられた。この部分にセキュリティ対策の啓発の肝がありそうだ。

　つまり自社診断シートを使って、未対策項目が数多く存在していることに気付いたあとに、経済的にも人的にも限られた環境の中で、より重要な項目から着手したいが、それを正しく、分かりやすく導く「ヒト」の存在が鍵を握る。それを内部で育てるのは困難で、外部の救いの手が必要なことを示唆している。

　とはいえ、忘れていけないのは「経営者がITセキュリティの重要性を正しく理解する」ことが最も重要だということ。ここに気付かない経営者に「一押し」するためにも、今回の調査結果のフィードバックなどを、全国の自治体レベル、商工会議所、IT経営応援隊などの活動を通じて、啓発することを今すぐにでも行うことが肝心だ。そこに既存の販売チャネルをうまく連携させることで、停滞気味のIT提供企業を浮揚させる、一石二鳥の効果も狙える可能性もある。ITセキュリティの整備事業は喫緊の課題であることを改めて強調したい。