中小企業の情報セキュリティ対策で必要なことは：HH News & Reports：ハミングヘッズ

コラムトップページ

インタビュー記事 ▼ ・ 国立国会図書館の蔵書電子化 と未来の図書館の姿 ・ ICT／クラウドによって 実現する未来 ・ ＩＣＴ政策とインターネット 選挙の解禁（動画あり） ・ サイバー犯罪の脅威と その対応策とは ・ 代替現実ゲームに見る 情報送受信の変化 ・ 世界に羽ばたく IT製品を作るには（上） ―置き去りにされた文化― ・ 世界に羽ばたく IT製品を作るには（下） ―置き去りにされた文化― ・ 経済学的見地からの “業務データ”分析 ・ 自己情報コントロール権と 個人情報保護の今後 ・ ICT産業の国際競争力を 強化する必要性とは ・ 中小企業の情報セキュリティ 対策で必要なこととは ・ 日本の「サイバーディフェンス」 と「CSIRT」 ・ 全国調査の結果から浮かぶ 子供の携帯電話利用実態とは ・ 変化するメディア環境における デジタルコンテンツの未来とは ・ 「コンピュータ博物館」で 過去の技術を伝える意義とは ・ 品質向上とコスト削減を両立させる「品質コストマネジメント」とは ・ 激変する時代を生き抜くための 企業活動とは ・ 社会基盤としてのITを利用する ための情報セキュリティ政策とは ・ 裁判のIT化（サイバーコート）とは ・ 新たな検索システム「MIMAサーチ」とは ・ 国際会計基準が企業に与える影響とは ・ 青少年インターネット環境整備法の意義とは ・ デジタル社会における著作権のあり方とは ・ IFRSをめぐる議論と日本の取るべき施策とは ・ 米国事例から学ぶ e-Discoveryの実情とは ・ これからの医療において 根幹をなすIT活用とは ・ 日本がITの国際標準化で すべきこととは ・ デジタル・フォレンジックと ITリスク学の考え方とは ・ サイバー犯罪の脅威とデジタ ル・フォレンジックの役割とは ・ 会計士の職務を通じて見た 企業と社会 ・ 犯罪捜査におけるデジタル・ フォレンジックの必要性とは ・ ITガバナンスの必要性とは ・ インターネット上の法規制の 重要性とは ・ 医療の情報化が抱えている 課題とは ・ 安心・安全なインターネット コンテンツとは ・ 医療におけるデジタル・フォレン ジック導入の必然性とは（後編） ・ 医療におけるデジタル・フォレン ジック導入の必然性とは（前編） ・ 情報セキュリティ監査とは どのような手法なのか(後編) ・ 情報セキュリティ監査とは どのような手法なのか(前編) ・ 犯罪・捜査のIT化に伴う刑法のあり方とは ・ 情報システムの領域から見たデジタル・フォレンジックの可能性とは ・ 医療におけるデジタル・ フォレンジックの適用とは ・ 本人認証を情報セキュリティに 有効に活用することとは ・ 税務執行におけるデジタル・ フォレンジックの活用とは ・ 日常的にセキュリティを 考えるということとは ・ 電子情報の開示（e-Discovery） について何を注意するべきか ・ デザイナー、アーティスト、 そして個人として語る真実のコトバ ・ どのようにデジタル・フォレンジック を普及させることができるか ・ 日本の社会に情報漏洩を防ぐ 意識を浸透させるためには ・ インターネットによる犯罪を 防ぐために必要なこととは ・ これからの日本の情報 セキュリティに必要なこととは

イベント・セミナーレポート ▼ ・ 「情報セキュリティ 人材育成」が開催 ・ 特許庁が外国産業財産 権制度セミナーを開催 ・ 電子署名の活用 について講演 ・ 「スキル標準ユーザーズカン ファレンス2011」が開催 ・ デジタル・フォレンジック・ コミュニティ2010が開催(1) ・ デジタル・フォレンジック・ コミュニティ2010が開催(2) ・ ユビキタス社会におけるITの管理・ 運用について講演 ・ Internet Week 2010 が開催 ・ デジタルメディア作品の制作を 支援する基盤技術について講演 ・ デジタルコンテンツの 諸問題について講演 ・ 日中がフィッシング 対策について講演 ・ 日本の科学技術の未来に ついて講演 ・ クラウドに関する国際 シンポジウムが開催 ・ 「特許・情報フェア＆コンファ レンス2010」が開催 ・ クラウド化する、学術 ネットワーク環境 ・ 電子自治体実現の 課題について講演 ・ デジタルアーカイブ化への 取り組みについて講演 ・ 「IPA Forum 2010」が開催 ・ 「知的財産シンポジウム 2010 in横浜」 ・ クラウドコンピューティングの課題と現状について講演 ・ 国立国会図書館データ ベースフォーラム2010 ・ 情報技術マップシン ポジウムが2010開催 ・ 「ASPIC Autumn Meeting 2010」 が開催 ・ 「情報セキュリティワークショップ in 越後湯沢2010」が開催(1) ・ 「情報セキュリティワークショップ in 越後湯沢2010」が開催(2) ・ 2010年度情報セキュリティ監査 シンポジウムin Tokyoが開催 ・ 「科学技術と産業」国際 シンポジウムが開催 ・ 台風・地震予測への「地球シミュ レータ」活用について講演 ・ 戦略的Webマーケティングセミナーが開催 ・ 慶大KMDがメディアの 今後について議論 ・ 企業のソーシャルメディア活用に関する講演が開催 ・ 地理空間情報を活用した『G空間』 社会について産官学が講演 ・ リスクマネジメントのISO規格説明会が開催 ・ 「RSA Conference JAPAN 2010」 が開催(2) ・ 「RSA Conference JAPAN 2010」 が開催(1) ・ LED照明の普及発展に向け シンポジウムが開催 ・ 制度のさらなる進化に向け 日本内部統制研究学会が開催 ・ 「国民ID制度を考える」が開催 ・ 情報化社会のインフラとなる “空間情報”の最新研究 ・ デジタル・フォレンジック 2010年の最新動向 ・ 事例に学ぶ情報漏洩対策・ 最前線が開催 ・ ネット上の有害情報規制と電子 書籍に関するセミナーが開催 ・ 「情報セキュリティと日本的経営」 が開催 ・ 「第14回サイバー犯罪に関する 白浜シンポジウム」が開催(3) ・ 「第14回サイバー犯罪に関する 白浜シンポジウム」が開催(2) ・ 「第14回サイバー犯罪に関する 白浜シンポジウム」が開催(1) ・ インターネット分野での日米 政策協力合意を受け議論 ・ これからの電子政府を考える シンポジウムが開催 ・ クラウド環境のセキュリティに 関するシンポジウムが開催 ・ 「クラウド・コンピューティングEXPO」が開催 ・ 電子書籍の未来に関する シンポジウムが開催 ・ オープンガバメントの実現を目指す シンポジウムが開催 ・ 情報処理技術遺産などの 認定式が開催 ・ 現代アートフェア 「G-tokyo 2010」が開催 ・ 「デジタル・フォレンジック・ コミュニティ2009」が開催 ・ 「IPA Forum 2009」が開催 ・ クラウドコンピューティングと IPv6の展望について講演 ・ 次世代スーパーコンピューティ ング・シンポジウム2009 ・ I-ROIが日本初の健全性 認定コンテンツを発表 ・ 住基カードの利活用推進 について講演 ・ ネットワーク・セキュリティ ワークショップ in 越後湯沢 が開催（2） ・ ネットワーク・セキュリティ ワークショップ in 越後湯沢 が開催（1） ・ 「ARG（代替現実ゲーム） シンポジウム2009」が開催 ・ ヨコハマ国際映像祭2009 が開催 ・ 「情報化月間2009 記念講演会」が開催 ・ シンポジウム「日本版フェア ユース導入の是非を問う」が開催 ・ 「CEATEC JAPAN 2009」が開催 ・ 「ライフサイエンス研究での データ共有化を考える ・ 「イノベーション・ジャパン 2009」が開催 ・ 日欧の産官学が情報の国際 共有とセキュリティを議論 ・ 行政手続きをスムーズにする “電子私書箱”の可能性 ・ 社会セキュリティの 国際標準化動向について講演 ・ サイボーグ技術の現在と未来に ついて日本ロボット学会が講演 ・ 工学系学生の国際的リーダー教育 について産学が議論 ・ 日科技連が「ソフトウェア品質 シンポジウム2009」を開催 ・ JAXA航空プログラム グループが研究成果を発表 ・ あずさ監査法人主催 「財務総合フォーラム2009」が開催 ・ 電子自治体の推進について講演 ・ コンテンツ学会が10日間連続で 研究会を開催 ・ スマートグリッドの推進に関する ワークショップが開催 ・ ITコンプライアンス・サミット 2009 Summerが開催 ・ 「NICT超臨場感コミュニケー ションシンポジウム」が開催 ・ 温暖化がもたらす気候の 大変動について研究者らが講演 ・ 情報セキュリティ人材の育成 について講演 ・ 地方公共団体の情報セキュリティ について講演 ・ ARGフォーラム「この先にある 本のかたち」が開催 ・ シミュレーションソフト研究の 可能性について産学が講演 ・ 「ワイヤレスジャパン2009」が開催 ・ 日韓の電子商取引事情について 関係者が講演 ・ 官民がCSR、内部統制についての現状を報告 ・ RIETI政策シンポジウム「世界経済 危機下のイノベーション」が開催 ・ IPAがIT人材育成についての 取り組みを報告 ・ “パーソナル情報”の利活用に 向けてのセミナーが開催 ・ 「第13回サイバー犯罪に関する 白浜シンポジウム」が開催（2） ・ 「第13回サイバー犯罪に関する 白浜シンポジウム」が開催（1） ・ 「デジタルサイネージ ジャパン2009」が開催 ・ 生命科学分野による データベース利用を産官学が提案 ・ 平成21年度第1回 関東テレコム講演会が開催 ・ 「2008年度 JNSA活動報告会」で 個人情報漏洩の被害状況を発表 ・ 電子商取引についての研究成果をECOMが報告 ・ 情報処理推進機構が 「IPAX2009」を開催(2) ・ 情報処理推進機構が 「IPAX2009」を開催(1) ・ 内部統制の意義について 新日本有限責任監査法人が講演 ・ 「IPv6 Summit 2009」が開催 ・ 無線通信サービスの最新動向と 経済効果を官民が報告 ・ あずさ監査法人が株式市場の 現状についてセミナーを開催 ・ 危機管理演習・セミナーが開催 ・ 伊藤嘉博氏が「品質コストマネ ジメントの活用」について講演 ・ 「グリーンICTの現状と展望」 シンポジウムが開催 ・ NHK文研がメディア研究についてのシンポジウムを開催 ・ 「放送と通信の融合とは何だったのか」について講演 ・ 情報ネットワーク法研究会でアラブ首長国連邦の研究者が講演 ・ 「官民が目指す青少年のインターネット環境整備の方向性」が開催 ・ 「情報大航海プロジェクトシンポジウム」が開催 ・ 公開シンポジウム「医療情報の標準化と医療IT政策を考える」が開催 ・ RIETI政策シンポジウム「大規模業務データから何を学ぶか」が開催 ・ 総務省がユビキタス技術と医療ＩＴに関するシンポジウムを開催が開催 ・ 慶大DMC機構最終年次シンポジウムが開催 ・ 「平成20年度　医療ICTシンポジウム」が開催 ・ 「2008年度　情報セキュリティ監査シンポジウム東京 in Winter」が開催 ・ 「JASA情報セキュリティ人材育成 セミナー2009 in Winter」が開催 ・ 東京大学が「理想の教育シンポジウム」を開催 ・ 新日本有限責任監査法人「理念経営の実践とCSR　2009」セミナーを開催 ・ 官民が情報セキュリティについ て意見交換 ・ 「平成20年度第3回関東テレコム講演会」が開催 ・ 東京都医師会がレセプトの オンライン義務化について言及 ・ 「ソフトウェア業界向け 工事進行基準 直前対策セミナー」が開催 ・ 電子政府推奨暗号リストの改訂 に向けたシンポジウムが開催 ・ RIETIワークショップ「イン センティブ構造としての企業 法」が開催 ・ 慶應義塾大学「デジタル知財 プロジェクト」が活動成果を報告 ・ 日弁連法務研究財団が“ｅサ ポート裁判の可能性”を議論 ・ シンポジウム「知の公共性を デザインする」が開催 ・ 「情報セキュリティ総合的普及啓発 シンポジウム」が開催 ・ 「パブリック・ドメイン所蔵品 資料の 活用へ向けて」が開催 ・ インターネットコンテンツ審査監視機構（I-ROI）が初セミナーを開催 ・ 日弁連主催のシンポジウム “ISPをめぐる法律問題”を議論 ・ 「デジタル・フォレンジック・ コミュニティ2008」が開催 ・ 「Network Security Forum 2008」 が開催 ・ 「ITGI Japan カンファレンス 2008」 が開催 ・ 「IPA Forum 2008」が開催 ・ 「平成20年度第2回関東テレコム 講演会」が開催 ・ 「ネットワーク・セキュリティワー クショップ in 越後湯沢2008」 が開催(2) ・ 「ネットワーク・セキュリティワー クショップ in 越後湯沢2008」 が開催(1) ・ 「知の構造化センター シンポジウム 」が開催 ・ 「情報化月間2008記念講演会」 が開催 ・ 萩原栄幸氏が情報漏洩の 危険性について講演 ・ 金沢21世紀美術館で「サイトウ・ マコト展： SCENE[0]」が開催 ・ 「2008年度情報セキュリティ監査シンポジウム in Tokyo」が開催 ・ 佐々木良一教授が最近の 情報セキュリティについて講演 ・ 「平成19年度第3回 関東テレコム講演会」が開催

　情報化の進展により、中小企業でも様々な場面でITが活用されるようになったが、情報セキュリティ対策については、十分に取り組まれていない。なぜ中小企業で取り組みが進まないのか。何から着手すればよいのか。中小企業研究で毎年100社前後を訪ね、多くの現場を見ている明治大学経営学部の岡田浩一教授にお話をうかがった。

中小企業とIT経営

―中小企業の情報セキュリティに関心を持ったきっかけを教えてください。

岡田氏　大学時代に経営学部で何を研究テーマに選ぼうかという時に、中小企業論を研究している人がまだ少なかった中で恩師がその研究をされていたことが大きなきっかけです。しかも世の中には圧倒的に中小企業が多く、また出身地の新潟県三条市が中小企業の町であることから、「中小企業を知らずして経営は語れないのではないか」と考えました。

岡田浩一　明治大学経営学部教授

　その後は下請け企業の研究を中心にしてきたのですが、IT利活用で優れた中小企業を選出し、事例として提供していく経済産業省の「IT経営百選」の審査委員にお声掛けをいただきました。さらに、IT経営を実現し他の企業の参考になるような中小企業等を同省が表彰する「中小企業IT経営力大賞」にも携わる中で、IT戦略をどのように展開していくかが中小企業にも重要だと考え、そちらの現場を歩くようになりました。

　中小企業を回る中で、セキュリティに対する温度差は企業によって大きいと感じました。これだけPCが普及し、ますます情報の価値が高まってきたのに、情報を盗まれることが資産を盗まれるのと同じことだと直感的に感じ取る方と、そうではない方の2タイプに分かれてしまっているのです。重要な経営資源である情報資産が漏洩してはならないということで、IT経営からセキュリティを切り離すことはできないと考えるようになりました。

〈図表1〉IT経営力指標における各ステージの考え方 出典：経済産業省「『IT 経営力指標』を用いた企業のIT 利活用に関する現状調査報告書」（2007年3月）などを基に作成 （クリックすると拡大します）

―中小企業におけるIT経営導入の現状はどのようなものなのでしょうか。

岡田氏　経済産業省の2007年の資料を見ると、日本では中小企業の７割以上が、「IT経営力指標^＊1」（図表1参照）でステージ1からステージ2にとどまり、ステージ3以上は3割に届かないという現状があります。米国は数値が逆転しており、7割程度がステージ3以上となっています。つまり、日本の中小企業はツールを入れていても、経営に生かし切れていないのです。

　例えば、ホームページを作って会社案内を発信したり、通信販売を始めたりすれば、顧客は増えますが、そのことだけでIT経営が上手くいったと考えて、そこでとどまってしまう企業が多いのです。これはあくまで、最新の道具を入れたことで剰余の価値が短期的に生まれただけです。増えた顧客をどのようにリピーターにするか、得た情報をどのように次の経営戦略に結びつけるかということも含めてIT経営なのであって、短期的に成果が出たこととは違うのです。

　私も企業を回りながら「せっかくある道具をなぜ使わないのだろう」という気持ちになることも多々あります。その際には、「中小企業IT経営力大賞」の事例紹介もするのですが、いかんせん中小企業は国内に420万件もありますから、多くの中小企業の方々に理解してもらうことはとても大変なことだと思います。

経営者の意識が高まらない理由

―IT経営がそういう状況ですから、情報セキュリティ対策も進まないのでしょうか。

岡田氏　情報セキュリティ対策への意識にはものすごく温度差があります。ソフトウェア系企業などは意識が高いのですが、そうでないところは「それが何になるのか」といったように考えていて、ウイルスセキュリティですら「いらない」という経営者もいます。大変危険だなと感じます。

　経営者に「こんなに大変なことがあったのですよ」とお話をすると、慌てて対策ソフトは買われるのですが、今度は更新をしないのです。「アップデートする」ということを理解しないとか、お金をかけられないという方も多いようです。特に高齢の経営者は、新しいツールを使うときに危険性を理解できていないのではないかと思います。

〈図表2〉中小企業が抱く情報セキュリティ対策の課題 出典：情報処理推進機構（IPA）「中小企業の情報セキュリティ対策確認手法に関する実態調査」2008年 （クリックすると拡大します）

―調査結果をみると、投資対効果が見えないという声が多いようですね。

岡田氏　2008年秋のリーマンショック以降、中小企業は厳しい経営を迫られていることもあり、対策をしなければならないとわかっているけれどお金を捻出できないという企業はとても多いのです。家でお金を盗まれないように金庫を買ったけれど、それでお金が増えるのかというのと同じ話で、セキュリティ対策は直接利益にはつながらず、投資対効果も求めにくいのですが、どうにかして対策をしなければなりません。

対策着手への考え方

―では、どのように考えて対策に取り組んでもらうべきなのでしょうか。

岡田氏　情報セキュリティ対策をすることは「守り」ですから投資対効果はないのですが、対策を企業のコーポレートレピュテーション^＊2につなげるという捉え方があります。「あの企業はセキュリティがすごい」「信用できる」ということで企業のイメージアップ、場合によってはブランドアップにつなげ、企業全体の力をアップさせて利益向上につなげるというものです。セキュリティを成長戦略の一手段に使うことが、「投資対効果がない」という声に対して、ポジティブな捉え方を促す仕組みになるのではないかと考えます。

―それが企業イメージの向上につながるのですね。

岡田氏　はい。それから、上場企業に内部統制報告書の提出を義務付けたJ-SOX法が整備され、大手企業はセキュリティガバナンスを整えることが義務になってきています。ですから、取引相手にもしっかりとした仕組みを持つことを要求してきます。これに対し「うちはできません」というのでは、取引そのものを止めてしまうということになりかねません。

　単にコーポレートレピュテーションを良くするだけではなく、「企業間関係」としてセキュリティに意識をおき、実際に展開していないと取引対象からはずれてしまう可能性は、切実に訴えることができます。「お金を掛けられない」と言っている状況だと、「イコール取引がなくなる」と考える必要性が高まってきているのではないでしょうか。

　例えば、大手メーカーが下請け企業へ渡していたファイルから情報が漏れるという問題が起きたと仮定すると、日本では大手メーカーの側が追及される感があります。ですから、情報セキュリティに脆弱性を持っている中小企業とは取引できないということになってきます。このように社会の仕組みが厳しくなってきており、国内約420万社の中小企業も、企業間取引ではセキュリティを意識しなければなりません。特に大手企業との取引が変わってくれば、必然的に対策をしなければならなくなるでしょう。

HH News & Reports トップ 更新履歴 サイトマップ ご意見・ご感想 会社概要 　ハミングヘッズ株式会社 © 2012 Humming Heads Inc. All Rights Reserved. 利用規約個人情報保護方針