Home > セキュリティコラム(3) 対策に悩む企業

セキュリティコラム(3)対策に悩む企業

2011/9/9

対策に悩む企業

 ここまで情報漏洩対策、全般を俯瞰し、中でも情報漏洩について詳しくみてきました。しかし多くの企業等は、対策を進めつつも多くの悩みを抱えています。

 図1は情報セキュリティ対策を実施する際に、企業が困っていることをまとめた調査結果です。これを見ると「専門の人材がいない」「他社と比較して自社のセキュリティレベルがどれくらいなのかわからない」「従業員の意識が低い」が、複数回答で4割を超えています。次いで「どの程度まで対策すればよいかわからない」「予算不足」「対策の有効性の評価方法がわからない」などが挙げられています。

情報セキュリティ対策で困っていること
図1、情報セキュリティ対策で困っていること(NRIセキュアテクノロジーズ「情報セキュリティに関する単純集計結果2010」より抜粋)
(クリックすると拡大します)

 次に、図2「情報セキュリティ対策の『かなり不安』な対策項目」と図3「情報セキュリティの対策状況」を見比べてみましょう。図2を見ると、不安な対策項目として「データ暗号化等の保護策」「USBメモリ/CD-ROM等の書き出し・持ち出し制限」「情報セキュリティ事故発生時への備え」など。情報漏洩対策に属するものが挙げられています。

 一方、図3の対策状況を見てみると、「かなり不安」な対策項目で1、2位だった「データの暗号化等の保護策」、「USBメモリ/CD-ROM等の書き出し・持ち出し制限」が進んでいません。

 「対策が進んでいないから不安に感じている」と捉えることもできますが、図1と合わせて考えれば「不安に感じつつも、人材不足や予算その他の問題で進められていない」とみることができるのではないでしょうか。

図2、情報セキュリティ対策の「かなり不安」な対策項目 
図3、情報セキュリティの対策状況
図2、情報セキュリティ対策の「かなり不安」な対策項目 図3、情報セキュリティの対策状況
出典:経産省「企業のIT投資動向に関する調査報告書 企業IT動向調査」2011年2月(クリックすると拡大します)

企業規模で意識に差

 企業等の情報漏洩対策への意識や悩みですが、企業の規模で大きく差が出ています。

 図4「資本金規模別今後の情報セキュリティ対策の考え方」をみると、「常に最新の対策を講じたい」とする企業は、資本金3億円超だと30%前後となっていますが、1億円以下では20%程度と差がみられます。また、「具体的な対策の仕方がわからない」と答えた企業が、5000万円超~1億円以下で22%となっています。「予算を考慮し導入時期を考えながら対策を講じたい」という回答は、1億円超~3億円以下で60%とやや割合が大きいですが、他はほぼ半数となっています。

資本金規模別今後の情報セキュリティ対策の考え方
図4、資本金規模別今後の情報セキュリティ対策の考え方
出典:IPA「2010年度情報セキュリティ製品の調達等に関する意識調査報告書」2011年2月(クリックすると拡大します)

対策の実施状況

 ここで、IPAが実施した中小企業を対象にしたヒアリング調査の結果をみてみましょう。

 まず、組織的な取り組みに関する問いに対し、主な回答として「システム担当者以外の従業員の意識が低い」「経営側の優先度が低い」「親会社の要望がある対策は高いレベルで実施するが、それ以外は実施されていない」などが挙がっています。重要性や課題に関する問いでも、社員の意識啓発や上層部との意識合わせ、コストの問題が並びます。

 回答の中身をみると、従業員の意識や予算・コストの問題など、悩みは主に大手を対象とした図1の調査と共通しています。ですが、資金力や人員の面で下回る中小企業のほうが、より困難な状況にあるのではないでしょうか。特に図4の調査も併せて考えると、セキュリティに対する意識はあるものの、大企業よりもさらに予算や人員等の制約が厳しく、思うようにならない現状があるのかもしれません。

 ウイルス被害や情報漏洩などは企業規模を問わず起こり得るものです。情報セキュリティの事故で業務がマヒするような事態を生じさせてしまえば、特に資金力で劣る中小企業にとっては、一気に存続の危機に立たされかねません。様々な制約の中でも、何とか適切な対策を講じていくことが必要ではないでしょうか。

●ヒアリング調査の結果

●「情報セキュリティに対する組織的な取り組み状況」の回答内容

  • ・ 何らかの枠組みやガイドラインに基づいて体系的に対策を行っている企業は少数であり、経験的に必要と思われる対策のみ実施しているため、網羅性に欠ける傾向がある。
  • ・ システム担当者の意識は高いが、社員の意識が低いのが大きな課題。
  • ・ 担当者として経営側に進言し、経営側も納得はするが、コストが掛かると分かった時点で、優先順位が下がってしまう。経営側としては積極性が薄い。
  • ・ 取引先からセキュリティ対策状況について聞かれることがあるが、取りあえず出来ることはやっている。取引先からも、最低 このラインまで、という要望も無い。
  • ・ 親会社からの指示・指導により具体的な対策を求められている項目については高いレベルで実施されているが、それ以外の項目は必ずしも実施されていない。

●「情報セキュリティについての重要性、課題について」の回答内容

  • ・ IT投資そのものは行うつもりであるが、セキュリティについては、コストのかからない、社員の教育や啓蒙といった部分の対応を考えて行きたい。
  • ・ 現場や上層部とコンセンサスがとれていない。投資に関して、セキュリティのみでの投資には上層部も積極的ではない。
  • ・ システムの投資は難しい。売上に貢献しないセキュリティ投資は後回しの可能性があるために、投資してセキュリティレベルを上げるというより、まずは意識付けからやっていきたい。

図5、ヒアリング調査の回答内容 抜粋 出典:IPA「中小企業における情報セキュリティ対策の実施状況等調査」2009年10月