情報処理推進機構(IPA)は3月8日、「『2015年度 中小企業における情報セキュリティ対策に関する実態調査』報告書について:IPA 独立行政法人 情報処理推進機構」において、2015年11月に企業規模が300人未満の中小企業(建築業、製造業、運輸・輸送業、卸・小売業、金融・保険業、不動産業、情報通信業、サービス業・その他)を対象に実施した情報セキュリティに関する取り組み状況調査などの結果を発表した。
調査の対象となったのは20歳以上の経営者、IT担当者、従業員などで、有効回答数は3952人(内訳:経営層838人、ITや情報セキュリティの社内担当者1157人、一般社員1957人)。
まず、規模の小さい企業ほど従業員が私物として有しているスマートフォンやタブレットデバイスの業務利用「BYOD(Bring your own device)」を認めていることが明らかになった。例えば、従業員100人以上の企業はBYODを認めている割合がが26.9%であるのに対し、小規模企業は50.3%に達している。
その一方で、規模の小さい企業ほど情報セキュリティに関する取り組みが弱いことがわかった。例えば、小企業では「80%ほどが情報セキュリティ教育を実施していない」「70%以上で情報セキュリティの相談窓口を持っていない」「組織的に情報セキュリティ対策担当者がいる企業が20%弱」と回答している。小企業におけるセキュリティ対策は従業員の力量に依存している状況になっていることがわかる。
今回の調査結果を見ると、内部の不正行為による情報漏洩や企業を対象とした標的型攻撃が企業活動に与える影響は日々大きなものになっているが、企業の規模が小さくなるほどこうした状況への対応が十分に実施できていないことになる。攻撃者は大企業だけでなく、中小企業も狙うおそれがあり注意が必要。また、情報セキュリティは特定のソフトウェアを導入すればよいというものではなく、企業の経営層から従業員までが広く状況を認識するとともに、定期的なソフトウェア・アップデートやパスワードの更新など、運用面および人的な行動も重要とされており、包括的な取り組みを実施していくことが望まれる。