HOME情報セキュリティ資料・報告書・出版物調査・研究報告書「2015年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について

本文を印刷する

情報セキュリティ

「2015年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について

最終更新日:2016年3月8日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

報告書の概要

 近年、インターネットバンキングの不正送金(*1)や特定企業の情報資産を狙った標的型サイバー攻撃、内部の不正行為による情報漏えいなどが企業にとって脅威となっています。こうした攻撃は政府機関や大企業だけでなく、中小企業にも向けられおり、直接の被害だけでなく、取引先を標的とした攻撃の踏み台にされる場合もあります。そのため組織の規模に関わらず適切な情報セキュリティ対策が必要です。
 IPAでは中小企業の20歳以上の経営者・IT担当者・従業員を対象に、対策状況についてウェブアンケートを実施しました。その結果、規模が小さい企業ほど情報セキュリティ対策の不備(*2)が浮き彫りとなりました。
今回の調査結果の主なポイントは以下のとおりです。

(1)小規模企業の過半数(50.3%)が社員の私物のスマートフォンやタブレット端末の業務利用(BYOD(*3))を認めている。(調査報告書P.6)


その一方で、小規模企業の端末のパスワード設定の実施割合は56.7%と中小企業に比べて実施率が低い傾向にありました。(調査報告書P.7)


紛失や盗難にあった場合、業務上の機密情報や個人情報が漏えいするリスクを回避するため、パスワード設定は必須です。


(2) 「組織的に情報セキュリティ対策担当者がいる」と回答した小規模企業は19.6%で、全体平均(44.6%)の半数にも満たない。(調査報告書P.8)


そして、小規模企業の72.2%は社内・社外の「情報セキュリティの相談窓口が特にない」(調査報告書P.9)、


小規模企業の80.9%は「情報セキュリティ教育を実施していない」と回答した。(調査報告書P.10)


 情報漏えいの脅威が増す中、多くの小規模企業は情報セキュリティ担当者が不在で社内外の相談窓口もありません。社員のスマートフォンやタブレット端末利用(BYOD)を認めている一方で端末にパスワードの設定がなされていないなど情報セキュリティ対策が不十分であると思われます。社内だけなく社外の取引先の機密情報を守るため、小規模企業を中心とした中小企業向けの情報セキュリティ教育を促す必要性があると考えられます。

調査概要

(1)調査方法 ウェブアンケート
(2)調査対象 業務でパソコンを利用している、全国の中小企業で働く20歳以上を対象とし、業種別(8区分)、企業規模別(3区分)、職場での役割別(経営層、ITや情報セキュリティの社内担当者、一般社員)で中小企業法の定義に基づいて割付を行い、サンプルを回収した。
(3)調査期間 【事前調査】2015年11月4日(水)~11月6日(金)
【本調査】 2015年11月7日(土)~11月10日(火)
(4)有効回答数 3,952人(内訳:経営層838人、ITや情報セキュリティの社内担当者1,157人、一般社員1,957人)
(5)調査内容 主な調査項目は下記の通り。

•回答企業の属性(業種、従業員数、売上高、所在地、IT依存度等)
•情報セキュリティ対策への取り組み状況(技術的・組織的対策の実施状況等)
•経営層のリスク認識や関与の度合い(経営リスクの捉え方、IT投資や情報セキュリティ対策への関与等)
•情報セキュリティに関する被害の状況(被害経験の有無、検知の方法、被害規模等)
•回答者の役割毎に用意する項目(情報セキュリティ上の課題や認識等)

調査結果の詳細は下記の「調査報告書」を参照のこと。
アンケート項目の詳細は下記の「調査票」を参照のこと。

<調査対象:業種別(8区分)、企業規模別(3区分)>
【企業規模(3区分)】 A:小規模企業(④⑦⑧:1~5人、①②③⑤⑥:1~20人)
中小企業 B:④⑦⑧:6~100人、①②③⑤⑥:21~100人
C:101~300人
【業種(8区分)】 ①建設業、②製造業、③運輸・輸送業、④卸・小売業、
⑤金融・保険業、⑥不動産業、⑦情報通信業、⑧サービス業・その他

脚注

(*1) 平成28年3月3日発表 平成27年中のインターネットバンキングに係る不正送金事犯の発生状況等について(警察庁) 発生件数1,495件、被害額約30億7300万円 https://www.npa.go.jp/cyber/pdf/H280303_banking.pdf 別ウィンドウで開く

(*2) 組織内に情報セキュリティの担当者、教育機会、および外部の相談窓口がいずれも無い、“3無い(さんない)”状態だった。

(*3) Bring Your Own Device:私物のパソコン等機器を職場に持ち込み業務に使用すること

ダウンロード

報告書のダウンロード

調査報告書PDF(3.27MB)
調査票PDF(421KB)

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 橋本/江島
Tel:03-5978-7508 Fax:03-5978-7546
E-mail:

更新履歴

2016年3月8日 公開