IPAでは、2007年10月から「中小企業の情報セキュリティ対策に関する研究会」（委員長：工学院大学　教授　大木 栄二郎、以下「研究会」）を設置し、実態に即した中小企業の情報セキュリティ対策のあり方について検討をしています。これまでの研究会の成果として、2009年3月に、「中小企業の情報セキュリティ対策ガイドライン」をとりまとめて公開しており、今後も引き続きガイドラインの普及・改善等についての検討を予定しています。
　この度、中小企業の情報セキュリティ対策の実施状況や、IPAが作成したガイドライン等（以下、「IPAガイドライン等」）の活用効果等を把握し、研究会での検討に活用するため、「中小企業における情報セキュリティ対策の実施状況等調査」を行い、本調査結果をとりまとめた報告書を公開しました。本調査では、国内各地の中小企業66社を対象とし、訪問面接によるヒアリングを行っています。

1. (ア)  情報セキュリティに対する組織的な取組状況
2. (イ)  物理的セキュリティ対策
3. (ウ)  情報システム及び通信ネットワークの運用管理状況
4. (エ)  情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策の状況
5. (オ)  情報セキュリティ関連の事故対応状況

1. (ア)  情報セキュリティ対策に関する認識
2. (イ)  情報セキュリティ投資
3. (ウ)  情報セキュリティの提案主体、情報収集手段
4. (エ)  情報セキュリティに関して企業が直面している課題、問題点
5. (オ)  情報セキュリティ認証、各種資格の取得意向
6. (カ)  IPAへの認知と期待
7. (キ)  情報セキュリティ対策ベンチマークへの認知

　 IPAが作成した「5分でできる自社診断シート」を用いて、調査対象企業の情報セキュリティ対策状況を確認したところ、66社中43社（65%）の点数が合格基準として設定した70点未満の点数でした。
　 「5分でできる自社診断シート」は情報セキュリティ対策の入門レベルを想定し、最低限実施すべき項目をまとめたものです。IPAでは早急に中小企業の情報セキュリティ対策の底上げを行う必要があると認識しています。

　 対策項目別の実施状況を見ると、社内でのルール化や重要情報の明確化等の、組織全体として取り組むべき項目が未実施となっている傾向があります。

　 調査対象企業の多くは、情報システムの開発事業者等の外部専門家から情報セキュリティ対策に関する提案を受けておらず、自らも積極的に情報収集を行っていない事が分かりました。
　 また、情報セキュリティ対策を検討する際には、IT技術に関する知識のほか、業務分析や保有情報の重要性分析を行うため、企業経営の分析能力が必要となりますが、多くの中小企業には社内に豊富な知識や能力を有する人材がなく、専門家との接点もほとんど無い事が分かりました。

　 最近の経済状況の変化を受け、IT投資意向が減退している中で、情報セキュリティ投資についても必要最低限に絞られる傾向があります。担当者が必要性を主張しても、経営層の理解を得られないという回答が多数ありました。
　 他の合理化案件と抱き合わせでコスト削減に結びつける事により経営層の理解を得る、といった担当者の“涙ぐましい努力”が伺える事例もありました。

　 IPAガイドライン等については、対象企業から、未実施項目に気付く良い機会となった等、概ね好印象が得られました。
　 ただし、「自ら手に取ろうとは思わない」という回答も多く、中小企業の情報セキュリティ対策の底上げのためには、外部専門家等の協力が重要であることがわかりました。

　今回の調査結果を活かして、関係団体と連携し、中小企業の情報セキュリティ対策の底上げのために、各種啓発資料・ツール等の開発や提供、セミナー等の普及活動を行っていきます。
　また、更に効果的な施策の検討のため、研究会での検討を進めます。

• 「中小企業における情報セキュリティ対策の実施状況等調査」報告書は以下のURLをご参照ください。
  http://www.ipa.go.jp/security/fy21/reports/sme-report/index.html

• プレスリリースの全文は以下のPDFをご覧ください。
  プレスリリース全文（577KB）

独立行政法人情報処理推進機構　セキュリティセンター　石井／小池

独立行政法人情報処理推進機構　戦略企画部広報グループ　横山／大海

Tel： 03-5978-7503　Fax：03-5978-7510　E-mail：