HOME情報セキュリティ資料・報告書・出版物調査・研究報告書中小企業における情報セキュリティ対策の実施状況等調査報告書

本文を印刷する

情報セキュリティ

中小企業における情報セキュリティ対策の実施状況等調査報告書

最終更新日 2009年10月27日

独立行政法人 情報処理推進機構
セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、中小企業の情報セキュリティ対策の実施状況や、IPAが作成した「中小企業の情報セキュリティ対策ガイドライン」 等の活用効果等を把握し、情報セキュリティ対策の検討に活用するため、「中小企業における情報セキュリティ対策の実施状況等調査」を実施し、報告書を公開しました。

概要

 IPAでは、2007年10月から「中小企業の情報セキュリティ対策に関する研究会」(委員長:工学院大学 教授 大木 栄二郎、以下「研究会」)を設置し、実態に即した中小企業の情報セキュリティ対策のあり方について検討をしています。これまでの研究会の成果として、2009年3月に、「中小企業の情報セキュリティ対策ガイドライン」をとりまとめて公開しており、今後も引き続きガイドラインの普及・改善等についての検討を予定しています。
 この度、中小企業の情報セキュリティ対策の実施状況や、IPAが作成したガイドライン等(以下、「IPAガイドライン等」)の活用効果等を把握し、研究会での検討に活用するため、「中小企業における情報セキュリティ対策の実施状況等調査」を行い、本調査結果をとりまとめた報告書を公開しました。本調査では、国内各地の中小企業66社を対象とし、訪問面接によるヒアリングを行っています。

  • (1) 対象企業の約7割が入門レベルの合格基準に達せず
    1.   IPAが作成した「5分でできる自社診断シート」を用いて、調査対象企業の情報セキュリティ対策状況を確認したところ、66社中43社(65%)の点数が合格基準として設定した70点未満の点数でした。
        「5分でできる自社診断シート」は情報セキュリティ対策の入門レベルを想定し、最低限実施すべき項目をまとめたものです。IPAでは早急に中小企業の情報セキュリティ対策の底上げを行う必要があると認識しています。
  • (2) 概ね組織全体としての取り組みが弱い
    1.   対策項目別の実施状況を見ると、社内でのルール化や重要情報の明確化等の、組織全体として取り組むべき項目が未実施となっている傾向があります。
  • (3) 専門家や情報不在の状況
    1.   調査対象企業の多くは、情報システムの開発事業者等の外部専門家から情報セキュリティ対策に関する提案を受けておらず、自らも積極的に情報収集を行っていない事が分かりました。
        また、情報セキュリティ対策を検討する際には、IT技術に関する知識のほか、業務分析や保有情報の重要性分析を行うため、企業経営の分析能力が必要となりますが、多くの中小企業には社内に豊富な知識や能力を有する人材がなく、専門家との接点もほとんど無い事が分かりました。
  • (4) 低い情報セキュリティ投資意向
    1.   最近の経済状況の変化を受け、IT投資意向が減退している中で、情報セキュリティ投資についても必要最低限に絞られる傾向があります。担当者が必要性を主張しても、経営層の理解を得られないという回答が多数ありました。
        他の合理化案件と抱き合わせでコスト削減に結びつける事により経営層の理解を得る、といった担当者の“涙ぐましい努力”が伺える事例もありました。
  • (5) IPAガイドライン等の有効性を確認
    1.   IPAガイドライン等については、対象企業から、未実施項目に気付く良い機会となった等、概ね好印象が得られました。
        ただし、「自ら手に取ろうとは思わない」という回答も多く、中小企業の情報セキュリティ対策の底上げのためには、外部専門家等の協力が重要であることがわかりました。

     

    調査報告書のダウンロード

    本件に関するお問い合わせ先

    独立行政法人 情報処理推進機構 セキュリティセンター 石井/小池
    TEL:03-5978-7508 FAX:03-5978-7518 E-mail:

    報道関係からのお問い合わせ先

    独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/大海
    Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:

    更新履歴

    2009年10月27日 掲載