「2018年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」報告書について

　第四次産業革命と呼ばれる大きな社会変化を迎える中、ITの利活用による新たな商品・サービスの開発、業務の高度化・効率化等が今後の重要課題となっています。一方で、標的型攻撃などのサイバー攻撃の対象は、政府機関や大企業だけにとどまらず、取引先を標的とした攻撃の中継点（踏み台）として中小企業が狙われるケースも増加しており、セキュリティ脅威に対する自発的な対策は必要不可欠となっています。
　IPAでは、2017年4月から中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度である『SECURITY ACTION^(*1)』の運用を開始し、中小企業の情報セキュリティ対策の取組みを推進しています。
　本事業では、SECURITY ACTION宣言事業者における情報セキュリティ対策の実施状況や課題、経営層の認識等を把握するため、宣言事業者を対象としたアンケート調査、アンケート調査結果に基づく訪問によるヒアリング調査（以下「訪問調査」）を実施しました。アンケート調査の結果、多くの宣言事業者で情報セキュリティに関する規程や手順書の策定に課題があり、対策したいが現状では不十分な状況であることが確認されました。また、訪問調査では、SECURITY ACTIONに取り組むことで得られる成果やメリット、対策の工夫点等が確認され、収集した情報をもとに事例集としてまとめました。

• （*1）SECURITY ACTIONの自己宣言は、取組み目標に応じて「★一つ星」と「★★二つ星」のロゴマークがあります。 https://www.ipa.go.jp/security/security-action/

今回のアンケート結果の主なポイントは、以下のとおりです。

(1)「SECURITY ACTIONに関する宣言を行うにあたって社内で主導的に進めていった役割の方」を「総従業員数」別に 　　みると、 　 ・従業員規模が少ないほど「経営者」が主導的に進めていった割合が高くなります。 　 ・総従業員数の増加に伴い、「ITや情報システムの担当者」の割合が高くなる傾向があります。 　 ・「21～300名」の場合には、「総務担当者」が主導的に進めた割合が25～29%となっています。 　　 (調査報告書P.26)

図1　SECURITY ACTION宣言の主導者（役割）（総従業員数別）

(2)SECURITY ACTION宣言をしたことによる効果への期待は、「取引先からの信頼が高まる」が46.0％と最も高く、 　「従業員による情報管理や情報セキュリティに関する意識を高める」も42.5％となっています。 　 （調査報告書P.12）

図2　SECURITY ACTION宣言で期待した効果

(3)情報セキュリティ対策の取組状況としては、「ほぼ実践できている」「十分ではないが実践している」の合計が、 　「重要情報のバックアップを定期的に行う」が 84.6％と最も高く、次いで「不審な電子メールを受信したときの 　 ルールを決めたり、そのための対策製品を活用する」が74.5%となっています。一方で、「情報セキュリティに 　 関する規定、手順書を策定する」は、30.9%に止まっています。 　 （調査報告書P.17）

図3　情報セキュリティ対策の取組み状況

(4)情報セキュリティ対策を進める上での課題点は、「従業員の意識がまだ低い」が56.6%と最も高く、 　「情報セキュリティ対策の知識をもった従業員がいない」が42.7%、「業務を行うための人手が足りない 　状態である」が41.8%となっています。 　 （調査報告書P.18）

図4　情報セキュリティ対策を進める上での課題点

調査概要

報告書のダウンロード

事例集のダウンロード

本件に関するお問い合わせ先