IPA 中小企業における情報セキュリティ対策の実施状況等調査

　こんにちは，丸山満彦です。IPAが中小企業における情報セキュリティ対策の実施状況等調査を公表していますね。。。
　調査結果の概要として，，，
＝＝＝＝＝
　(1) 対象企業の約7割が入門レベルの合格基準に達せず
　(2) 概ね組織全体としての取り組みが弱い
　(3) 専門家や情報不在の状況
　(4) 低い情報セキュリティ投資意向
　(5) IPAガイドライン等の有効性を確認
＝＝＝＝＝
　とのことです。。。

　
■IPA
・2009.10.27 「中小企業における情報セキュリティ対策の実施状況等調査」報告書を公開
　調査結果の概要として次のように記載されていますが，，，
＝＝＝＝＝
(1) 対象企業の約7割が入門レベルの合格基準に達せず
　 IPAが作成した「5分でできる自社診断シート」を用いて、調査対象企業の情報セキュリティ対策状況を確認したところ、66社中43社（65%）の点数が合格基準として設定した70点未満の点数でした。
　 「5分でできる自社診断シート」は情報セキュリティ対策の入門レベルを想定し、最低限実施すべき項目をまとめたものです。IPAでは早急に中小企業の情報セキュリティ対策の底上げを行う必要があると認識しています。
(2) 概ね組織全体としての取り組みが弱い
　 対策項目別の実施状況を見ると、社内でのルール化や重要情報の明確化等の、組織全体として取り組むべき項目が未実施となっている傾向があります。
(3) 専門家や情報不在の状況
　 調査対象企業の多くは、情報システムの開発事業者等の外部専門家から情報セキュリティ対策に関する提案を受けておらず、自らも積極的に情報収集を行っていない事が分かりました。
　 また、情報セキュリティ対策を検討する際には、IT技術に関する知識のほか、業務分析や保有情報の重要性分析を行うため、企業経営の分析能力が必要となりますが、多くの中小企業には社内に豊富な知識や能力を有する人材がなく、専門家との接点もほとんど無い事が分かりました。
(4) 低い情報セキュリティ投資意向
　 最近の経済状況の変化を受け、IT投資意向が減退している中で、情報セキュリティ投資についても必要最低限に絞られる傾向があります。担当者が必要性を主張しても、経営層の理解を得られないという回答が多数ありました。
　 他の合理化案件と抱き合わせでコスト削減に結びつける事により経営層の理解を得る、といった担当者の“涙ぐましい努力”が伺える事例もありました。
(5) IPAガイドライン等の有効性を確認
　 IPAガイドライン等については、対象企業から、未実施項目に気付く良い機会となった等、概ね好印象が得られました。
　 ただし、「自ら手に取ろうとは思わない」という回答も多く、中小企業の情報セキュリティ対策の底上げのためには、外部専門家等の協力が重要であることがわかりました。
＝＝＝＝＝
　ここに記載されていることは，何も情報セキュリティに関する問題ではなく，おおむねすべての分野で大企業と比べるといえることです。
　なので，情報セキュリティという面で解決しようとしても無理ですね。。。
　また，中小企業ならそういうこともあるということをある程度認めるべきなのかもしれません。。。
　中小企業に大企業なみのセキュリティ対策やマネジメントを求めるのは無理というものですね。。。

・2009.10.27 中小企業における情報セキュリティ対策の実施状況等調査
　・・中小企業における情報セキュリティ対策の実施状況等調査報告書（全文、1,534KB）

・2009.03.18 中小企業の情報セキュリティ対策ガイドライン　
　・・中小企業の情報セキュリティ対策に関する研究会報告書（全28ページ、412KB）