岐阜でアクセス解析に興味があればご連絡ください。岐阜を中心にITコンサルティングを行っています。

中小企業が情報セキュリティ対策を実施するために必要なこととは?

規模が小さい企業ほど、セキュリティ対策は難しいの?

IPA(情報処理推進機構)が、「中小企業における情報セキュリティ対策に関する実態調査」の報告書を公表していました。

「2016年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について:IPA 独立行政法人 情報処理推進機構

IPAは2015年からこの調査を実施していますが、今回は特に小規模企業を調査の焦点にあてています。

 

概要資料の最後に、調査結果の要点が書かれているので、いくつか抜粋します。

  • 企業規模が小さい企業ほど、情報漏えい等のインシデント又はその兆候を発見した場合の対応方法を規定している割合が低く、社内の情報セキュリティに関するルールから逸脱した場合の措置について、就業規則等で規定している割合も低い。
  • IT投資を行っている企業は、企業規模に関係なく、情報セキュリティ対策に関する投資も実施している。
  • 60%以上の企業は情報セキュリティ対策が十分ではないと認識しており、情報セキュリティ対策をさらに向上させるためには、「従業員の情報セキュリティ意識向上」に次いで「経営者への情報セキュリティ意識向上」のような人的側面の対策が重要であると考えている。

 

1点目を含め、各種調査の結果は、小規模な企業ほど、情報セキュリティ対策が十分にできていないというものでした。これは、企業体力など様々な資源に制約がある小規模企業では、予想通りの結果かもしれません。

 

しかし、特に注目したのは3点目のところで、「人的側面の対策が重要」という箇所です。

技術的な面や資金の問題なども中小企業にはたくさんの制約があると思いますが、まずとにもかくにも組織や人としてのセキュリティー意識を向上する必要があるということでしょう。

セキュリティ対策に投資しようと思っても、経営者やIT担当者がその必要性を感じなければ何も始まりません。上記2点目にあるように、IT投資を行っている企業では、企業規模に関係なく情報セキュリティ対策に投資している、という結果からもそれは示されています。

 

まずは、持っているリスクを自覚し、始められるところから始めましょう。以下の記事を参考に、簡単チェックだけでも実施をご検討ください。

中小企業の情報セキュリティ対策の厳しい現状と今すぐできること | Ladder Consulting

 

また、今回ご紹介した報告書には、実際に中小企業が実施しているセキュリティ対策の事例集があります(73ページというボリューム!)ので、「どういう対策すればいいの?」の参考になるのではないでしょうか。