HOME >> IPAについて 最新情報 >> 記事

プレス発表
「中小企業における情報セキュリティ対策の実施状況等調査」報告書を公開

2009年10月27日

独立行政法人 情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、中小企業の情報セキュリティ対策の実施状況や、IPAが作成した「中小企業の情報セキュリティ対策ガイドライン」1等の活用効果等を把握し、情報セキュリティ対策の検討に活用するため、「中小企業における情報セキュリティ対策の実施状況等調査」を実施し、報告書を公開しました。
   http://www.ipa.go.jp/security/fy21/reports/sme-report/index.html

  IPAでは、2007年10月から「中小企業の情報セキュリティ対策に関する研究会」(委員長:工学院大学 教授 大木 栄二郎、以下「研究会」)を設置し、実態に即した中小企業の情報セキュリティ対策のあり方について検討をしています。これまでの研究会の成果として、2009年3月に、「中小企業の情報セキュリティ対策ガイドライン」をとりまとめて公開しており、今後も引き続きガイドラインの普及・改善等についての検討を予定しています。
 この度、中小企業の情報セキュリティ対策の実施状況や、IPAが作成したガイドライン等(以下、「IPAガイドライン等」)の活用効果等を把握し、研究会での検討に活用するため、「中小企業における情報セキュリティ対策の実施状況等調査」を行い、本調査結果をとりまとめた報告書を公開しました。本調査では、国内各地の中小企業66社を対象とし、訪問面接によるヒアリングを行っています。

1. 主な調査項目

  • (1) 情報セキュリティ対策の実施状況
    1. (ア)  情報セキュリティに対する組織的な取組状況
    2. (イ)  物理的セキュリティ対策
    3. (ウ)  情報システム及び通信ネットワークの運用管理状況
    4. (エ)  情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策の状況
    5. (オ)  情報セキュリティ関連の事故対応状況
  • (2) IPAガイドライン等の汎用性
  • (3) IPAガイドライン等の活用効果
  • (4) IPAガイドライン等の感想、意見
  • (5) 情報セキュリティ対策の事例
  • (6) その他情報セキュリティ対策に関する課題等
    1. (ア)  情報セキュリティ対策に関する認識
    2. (イ)  情報セキュリティ投資
    3. (ウ)  情報セキュリティの提案主体、情報収集手段
    4. (エ)  情報セキュリティに関して企業が直面している課題、問題点
    5. (オ)  情報セキュリティ認証、各種資格の取得意向
    6. (カ)  IPAへの認知と期待
    7. (キ)  情報セキュリティ対策ベンチマークへの認知

    1

     IPAでは、中小企業の情報セキュリティ対策として実施すべき具体的な対策事項をまとめた「中小企業の情報セキュリティ対策ガイドライン」を2009年3月18日から公開しています。
     上記ガイドラインには別冊として、「5分でできる自社診断シート」、「中小企業における組織的な情報セキュリティ対策ガイドライン」が含まれており、これらを普及啓発に活用しています。詳細は以下のURLをご覧下さい。
    URL : http://www.ipa.go.jp/security/fy20/reports/sme-guide/index.html

     

    2. 調査結果概要

  • (1) 対象企業の約7割が入門レベルの合格基準に達せず
    1.   IPAが作成した「5分でできる自社診断シート」を用いて、調査対象企業の情報セキュリティ対策状況を確認したところ、66社中43社(65%)の点数が合格基準として設定した70点未満の点数でした。
        「5分でできる自社診断シート」は情報セキュリティ対策の入門レベルを想定し、最低限実施すべき項目をまとめたものです。IPAでは早急に中小企業の情報セキュリティ対策の底上げを行う必要があると認識しています。
  • (2) 概ね組織全体としての取り組みが弱い
    1.   対策項目別の実施状況を見ると、社内でのルール化や重要情報の明確化等の、組織全体として取り組むべき項目が未実施となっている傾向があります。
  • (3) 専門家や情報不在の状況
    1.   調査対象企業の多くは、情報システムの開発事業者等の外部専門家から情報セキュリティ対策に関する提案を受けておらず、自らも積極的に情報収集を行っていない事が分かりました。
        また、情報セキュリティ対策を検討する際には、IT技術に関する知識のほか、業務分析や保有情報の重要性分析を行うため、企業経営の分析能力が必要となりますが、多くの中小企業には社内に豊富な知識や能力を有する人材がなく、専門家との接点もほとんど無い事が分かりました。
  • (4) 低い情報セキュリティ投資意向
    1.   最近の経済状況の変化を受け、IT投資意向が減退している中で、情報セキュリティ投資についても必要最低限に絞られる傾向があります。担当者が必要性を主張しても、経営層の理解を得られないという回答が多数ありました。
        他の合理化案件と抱き合わせでコスト削減に結びつける事により経営層の理解を得る、といった担当者の“涙ぐましい努力”が伺える事例もありました。
  • (5) IPAガイドライン等の有効性を確認
    1.   IPAガイドライン等については、対象企業から、未実施項目に気付く良い機会となった等、概ね好印象が得られました。
        ただし、「自ら手に取ろうとは思わない」という回答も多く、中小企業の情報セキュリティ対策の底上げのためには、外部専門家等の協力が重要であることがわかりました。

     

    3. 今後の課題とIPAとしての取り組み

     今回の調査結果を活かして、関係団体と連携し、中小企業の情報セキュリティ対策の底上げのために、各種啓発資料・ツール等の開発や提供、セミナー等の普及活動を行っていきます。
     また、更に効果的な施策の検討のため、研究会での検討を進めます。

     

    本件内容に関するお問い合わせ先:

    独立行政法人情報処理推進機構 セキュリティセンター 石井/小池

    Tel:03-5978-7508 Fax:03-5978-7518  E-mail:E-mailアドレス

    報道関係からのお問い合わせ先:

    独立行政法人情報処理推進機構 戦略企画部広報グループ 横山/大海

    Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:電話番号:03-5978-7501までお問い合わせください。