EN

NRIセキュア ブログ

今、必要な中小企業のセキュリティ|アンケート調査から分かった対策のキーポイント

目次

    Point_SMEs

    情報漏えいなどのセキュリティ事故が報道されない年はないと言っていいかもしれません。そして、報道されるセキュリティ事故の背後には、報道されない事故、事故に至らないまでも事故一歩手前の「ヒヤリハット」の状況が数多くあることは想像に難くありません。

     

    そして、なにもセキュリティ事故は大企業だけのものではありません。

     

    今やITを利用せずに事業を行っている企業がない以上、ビジネスとセキュリティ事故は切っても切れない関係にあります。また、子会社や委託先に起因したセキュリティ事故の事例なども報道されており、「サプライチェーン」に関するセキュリティリスクも高まっています。

     

    20187月に、NRIセキュアテクノロジーズ株式会社と、KDDI まとめてオフィス株式会社は、共同で中小企業・中堅企業を対象としたセキュリティに関するアンケート調査を実施しました。そこから、中小企業・中堅企業におけるセキュリティ対策の実情と今後の取組へのヒントが見えてきました。

     

    本記事では、中小企業・中堅企業がセキュリティ対策を進めていく上でのキーポイントについて解説します。

    中小企業・中堅企業のセキュリティ対策の「コスト」と「課題感」

    今回アンケートを実施した企業のうち、じつに7割の企業が「セキュリティ対策が十分でない」と回答をしています。では実際に企業ではどれだけの予算をかけてセキュリティ対策を行っているのでしょうか?

     

    従業員規模が100名以下の企業では8割近い企業が月額50万円以下と回答しており、500人未満の企業では、6割程度と過半数を占めています。

     

    従業員規模とセキュリティコストの内訳

    では、月額でどれだけのコストをかけることで、自社の「課題感」はなくなるのでしょうか?下図のとおり、当然ながらセキュリティ対策にコストをかけることで、課題感は減少する傾向にあります。特にメールの誤送信や、情報機器の盗難・紛失等の「ヒューマンエラー」に関するリスクはその傾向が強いです。これらの脅威はシステム等の仕組みを整備することで発生数を減らすことができるため、投資をすることの安心感に繋がっているものと考えられます。

     

    セキュリティ予算と課題感2-1

     

    point1

    拠点数が増えると発生しやすい?セキュリティ管理の「ポテンヒット」

    拠点数とセキュリティ対策状況の関連性について調査をしたところ、面白い結果が分かりました。全体的に複数の拠点を持つ企業の方が、セキュリティ対策が進む傾向にありますが、拠点数が1130か所前後の企業では、「対策が十分でない」という回答数が増加しています。

     拠点数と対策状況2

    これは、拠点数が増えることによって、セキュリティへの意識が高まる一方で、一定の拠点数を超えた段階で、各拠点まで「目が行き届かなくなる」という、多地点のセキュリティを管理することの難しさが表れていると考えられます。

     

    さらに拠点数が増えると状況が改善されることから、特に11 30 拠点程度の企業が、セキュリティ対策の「ポテンヒット」が起こりやすい規模だということが言えるのではないでしょうか。

     

     

    point2

    セキュリティ対策状況の「業種別」の特徴

     中小企業・中堅企業のセキュリティ対策状況について、業種別に比較をしてみるとどうなるでしょうか。

     

    業種ごとの対策状況

    情報通信業、金融・保険業、広告代理店・マーケティング業は、8 割以上の企業が『セキュリティ対策が進んでいる』と回答しています。

     

    その一方で、運輸・建設・飲食サービス業などは、5 割程度か、それ以下しか対策が進んでいないという回答にとどまっています。

     

    これは、情報通信業、金融・保険業では顧客のデータを大量に扱うため、取引先からの高いレベルのセキュリティ管理が求められていること、加えて監督官庁による管理指針等の影響があることなどが想定できます。言い換えれば、顧客や監督官庁等の『外部からの要請』がなければ、なかなかセキュリティ対策が進んでいないということが言えます。

     

    『セキュリティ対策が進んでいる』と回答した企業に対してさらに、『セキュリティ対策を進めるきっかけ』を確認したところ、『同業での事故が多発し、経営者の関心が高まった』というものが最も多かったです。続いては『セキュリティ専任者が選任され、取り組みが決まった』という回答が続きます。

     

    対策のきっかけ

    これらのことから、セキュリティ対策は「経営者の関心」と「セキュリティ担当の存在」がきっかけとなって推進されるケースが多いということが分かります。

     

    中小企業・中堅企業がセキュリティ対策を強化していくためには、まずは経営者がセキュリティに対して関心を持ち、その上で、きちんと担当者・担当部署を任命してオペレーションをしていく体制を整える、ということが「最初の一歩」であると言えるでしょう。

     

    point3

    中小企業・中堅企業のセキュリティ対策のキーポイント

    これらの結果からわかる、中小企業・中堅企業がセキュリティ対策を進めていく上で重要となるキーポイントを整理しました

    ■受け身ではなく主体的に取り組む
    取引先や監督官庁等の「外部からの要請」だけでセキュリティ対策に取り組むのではなく、セキュリティを「自社の課題」としてきちんと認識することが重要です。

    ■経営層がセキュリティに関心を持ち、担当者・担当部署を明確にする
    セキュリティ対策を進めていくには、ヒト・モノ・カネ・情報の経営リソースが必要になるため、経営層の関与が欠かせません。経営層がセキュリティへの関心を持ち、きちんと担当者・担当部署を明確にすることで、セキュリティ対策を円滑に推進することができます。

    ■低予算でも取り組めるところから対策をする
    セキュリティに投じる予算額が増えるほど、セキュリティ対策は進みますが、まずはお金をかけずにできるところから始めることが重要です。現時点のセキュリティ対策状況の棚卸や、社員の教育など、無料のツールや公開資料などを元にしてできるところから始めることが重要です。

     

    本調査のホワイトペーパーは以下より、無料でダウンロードすることができます。ご興味のある方はぜひダウンロードして全編をご覧ください。

     

     

     セキュリティ対策状況を可視化するためには、「Secure SketCH」がおすすめです。他社の対策状況と比較した自社の「偏差値」や「セキュリティレベル」を無料で確認することができます。

     

    「セキュリティ対策は何から始めればいいか分からない」という企業は、こちらをぜひご活用ください!

     

    新規CTA