中小企業のセキュリティ対策、「従業員の意識がまだ低い」――IPAの調査：事例集も公開

「SECURITY ACTION」を宣言した企業の情報セキュリティ対策に関するIPAの調査が公開された。それによると、従業員や経営層の意識の低さを課題と考えている企業が多かった。

[＠IT]

　独立行政法人情報処理推進機構（IPA）は2019年3月28日、中小企業の情報セキュリティ対策の実施状況や課題、経営層の認識を調査した結果を発表した。

　それによると、セキュリティに関する手順書の作成や情報漏えい、盗難などに対する備えができていないことや、従業員や経営層の意識の低さを課題と考えている企業が多かった。調査対象となったのは、「SECURITY ACTION」を宣言した事業者。

　SECURITY ACTIONは、情報セキュリティ対策への取り組みを中小企業に推進させるため、中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言する制度で、IPAが2017年4月に運用を開始した。

小規模な企業では経営者自らが取り組む

　今回の調査では、SECURITY ACTIONの宣言を社内で主導した人の立場や、同宣言によって期待する効果などを調べた。

　まず、SECURITY ACTION宣言を主導した人の立場は、従業員規模が小さい企業ほど経営者の割合が高く、従業員数の増加に伴いITや情報システムの担当者の割合が高くなる傾向があった。

総従業員数別にみたSECURITY ACTION宣言の主導者の立場（出典：IPA）

　具体的には、経営者が主導した企業の割合は、従業員数が1〜5人の企業では84％、6〜20人の企業では56％、21〜50人の企業では37％、51〜100人の企業では23％、101人以上の企業では16％だった。

　これに対してITや情報システムの担当者が主導した企業の割合は、従業員数が1〜5人の企業では6％、6〜20人の企業では13％、21〜50人の企業では21％、51〜100人の企業では28％、101人以上の企業では34％だった。その一方で、従業員数が21〜300人の企業では、総務担当者が主導した割合が3割弱あった。

SECURITY ACTIONに取り組む動機は？

　SECURITY ACTION宣言を実行した理由のうち、割合が高かった回答は「取引先からの信頼が高まる」（46.0％）や「従業員による情報管理や情報セキュリティに関する意識を高める」（42.5％）などだった。

SECURITY ACTION宣言で期待した効果（出典：IPA）

　一方、情報セキュリティ対策の取り組み状況を調べると、バックアップや不審メールへの対策などは実践できているものの、セキュリティに関する手順書の作成や情報漏えい、盗難などに対する備えがあまりできていないことが分かった。

情報セキュリティ対策の取り組み状況（出典：IPA）

　具体的には、「重要情報のバックアップを定期的に行う」が「ほぼ実践できている」と回答した企業の割合は44.4％、「十分ではないが実践している」が40.2％、「対策したいが、現状では不十分な状況である」が14.2％、「実践する予定はない」が0.6％だった。

　「不審な電子メールを受信したときのルールを決めたり、そのための対策製品を活用する」についても、「ほぼ実践できている」と回答した企業の割合が30.0％と比較的高かった。

　これに対して「情報セキュリティに関する期待、手順書を策定する」が「ほぼ実践できている」と回答した企業の割合は11.5％、「情報の漏えいや紛失、盗難などの事故発生に備えた準備をする」について、「ほぼ実践できている」と回答した企業の割合は12.7％と低かった。

課題は従業員の意識

　情報セキュリティ対策を進める上での課題点で、最も割合が高かった回答は「従業員の意識がまだ低い」で56.6％。「情報セキュリティ対策の知識をもった従業員がいない」や「業務を行うための人手が足りない状態である」「経営層の意識がまだ低い」も、それぞれ42.7％、41.8％、32.4％と多かった。

情報セキュリティ対策を進める上での課題点（出典：IPA）

　IPAの調査期間は2018年11月〜2019年2月。調査手法はアンケート調査と訪問調査、有効回答数は5126件。事業の種別では印刷業を含む製造業と建設業、卸売業・小売業の3種類で約5割を占めた。回答者の属性は経営層が50.8％、ITや情報セキュリティの社内担当者が27.6％だった。

事例集では18事業者を紹介

　なお、同時に公開した「2018年度SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査- 事例集 -」では18の事業者を紹介、うち16の事業者は企業名も明らかにしている。

事例集で紹介された企業の例（出典：IPA）