2016年7月1日に発表された中小企業白書(2016年版)の「情報セキュリティリスク」の部分をまとめてみました。
情報セキュリティ対策の実施状況
1)組織的対策の実施:約65%
2)技術的対策の実施:約80%
3)監視体制:約47&
4)評価の実施:約44%
各々の項目で大企業と比べ20%ほど低い実施率となっていました。
各項目の内容は以下のようなものです。
■組織的対策の実施
リスク分析、セキュリティポリシーの策定、セキュリティポリシーの策定に基づく具体的な対策、
全社的な情報セキュリティ管理者の配置、従業員に対する情報セキュリティ教育など
■技術的対策の実施
重要なシステムへの内部でのアクセス管理、データの暗号化、ファイアウォールの配置、
生体認証の導入など
■監視体制
セキュリティ監視ソフトの導入、外部専門家による常時セキュリティ監視など
■評価の実施
外部専門家による定期的なセキュリティ監査、内部による定期的なセキュリティ監査、
定期的な脆弱性情報の取得、定期的なアクセスログの分析、
情報セキュリティマネジメントシステム認証の取得など
中小企業の情報セキュリティ対策が進んでいないと報告されています。
特に専任のIT担当者が不在な企業では、上記の項目のどれも簡単な事ではないですね。
情報セキュリティ対策費用
1年間の情報セキュリティ対策費用については、以下の図のような結果でした。
皆さんの会社と比べてみていかがでしょうか?
この報告によると、50万円未満が35.3%となっており、最も多くなっています。
発生しなかった(対策費用がゼロ)と合わせると45%となり、全体の半分近くとなるという結果です。
この対策費用には、システム投資や外部業者への費用だけではなく、従業員向けの情報セキュリティ教育やその人件費も含まれています。
費用をかければ情報セキュリティ対策が向上するというものではないので、自社の事情に合った適度な対策投資が必要ですね。
以前、「IT予算をかければ情報セキュリティは万全という勘違い」にも書きましたが、比較的低予算で実施でき、かつ効果が大きい従業員向けの情報セキュリティ教育をご検討するのも一考ですね。