中小企業の情報セキュリティ

先月、独立行政法人情報処理推進機構（IPA）から「2016年度中小企業における情報セキュリティ対策に関する実態調査」の報告書が公表されました。

ついこの前も「WannaCry」に代表される身代金型ウイルス（ランサムウェア）が猛威を奮っていました。
一昔前のような無差別愉快犯から、標的を絞り実行する目的犯へと、犯行の種類が移り変わりつつあるなどと言われていたりもします。

愉快犯にしろ、目的犯にしろ、被害を被るのは免れたいところですが、現在では、大企業から個人事業主まで、IT環境を全く業務に利用していないという事業主はいないのではないでしょうか。誰でも被害を受ける可能性はあるということです。

大企業ではマンパワーも資金力もありますので、セキュリティ対策を実施するのはそれ程難しくないと思いますが、中小企業では、なかなか対策が進まないところもあると想像するのは難しくありません。
そのような実態を把握すべく、「中小企業における情報セキュリティ対策に関する実態調査」が行われているようです。

調査は、郵送やWEBによるアンケート、アンケート調査結果に基づく訪問によるインタビュー等調査が行われています。
調査対象はもちろん、中小企業ですが、一言で中小企業といっても、大企業に近い企業から一人企業までその規模は様々です。
これを1つにまとめても、あまり意味はありませんので、中小企業をさらに区分して調査が行われています。

具体的には、業種別と企業規模別に区分されています。
業種は、日本標準産業分類を10区分に統合したもののようです。
企業規模は、小規模企業は20人以下（卸売、小売、サービス業は5人以下）、中小企業は100人以下の企業と、100人を超える企業に分類されています。

調査結果はというと、総じて、規模の小さい企業ほど情報セキュリティ対策への取り組みが不足している状況が確認されたとのことでした。
この結果については誰もが予想通りといったところなのかもしれません。

では、具体的にどのようなところが不足しているのでしょうか。
一例ですが、情報漏えい等のインシデント又はその兆候を発見した場合の対応方法を規定しているのは、小規模企業では13.7%、100人以下の中小企業は26.8%、100人超の中小企業では57.1%でした。

セキュリティソフトを最新のものにするなどの防衛策はとっていても、いざ被害を受けた時のいわゆる、「危機対応マニュアル」を作成するには至っていないということが浮き彫りになった形です。

この調査結果は、IPAのホームページからダウンロードすることが出来ます。
事例集なども見ることが出来ます。