第25回 中小企業が取り組める現実的なセキュリティ対策とは？：日本型セキュリティの現実と理想（1/4 ページ）

中小企業だからサイバー攻撃に遭わないということはなく、攻撃者にとって脆弱な中小企業が情報をダダ漏れの状況のままにしてくれるのは、むしろ都合がよい。今回は、経営資源の限られた中小企業のセキュリティの実態と対策にどう取り組むべきかについて考察する。

[武田一城，ITmedia]

実態調査で分かった中小企業のセキュリティ対策

　情報処理推進機構（IPA）が2016年3月8日に発表した資料「2015年度　中小企業における情報セキュリティ対策に関する実態調査報告書」には、中小企業のセキュリティ対策状況を調査した結果が掲載されている。なお、この調査の対象は原則従業員300人以下の企業（卸売、小売、サービス業のみ別の基準で規定）としている。

　この実態調査の結果は筆者にとって意外でもあり、予想通りとも言えるものだった。まずは、結果のいくつかを見てみよう。

中小企業のセキュリティ対策の実態

　まず、上の図の「1」の設問から分かる実態を述べたい。これは、中小企業で何らかの形でセキュリティ担当者を設置している企業が半分以下だということを示している。また、従業員101人以上の企業でも3分の1以上が設置していないということも併せて示している。

　つまり、これらのセキュリティ担当者が決まっていない中小企業でセキュリティインシデント（事故や事件）が発生した場合、社内でどのようなセキュリティ対策が実施されているか、情報漏えいが起きたのか、そうでないのかを説明できる人が誰もいないということを表している。しかも、担当者のセキュリティ知識のレベルについては記載がないため、実態は名ばかりの担当者が決まっているだけかもしれない。

　そして「2」は、全ての結果の中で最も衝撃的な内容だった。3分の1以上の企業で端末のパスワードが設定すらされていないという。この数字は、「中小企業では資金や人材が乏しいからセキュリティ対策が手薄である」という筆者の仮説を否定するのに十分だった。パスワードの設定に高額なセキュリティ対策製品はいらないし、設定に高度な技術が必要なわけでもないからだ。

　このことから、中小企業の中にかなりの割合で「セキュリティ対策をする意味がわからない層」が存在するということが分かる。日々サイバー攻撃や情報漏えいに関する報道がなされ、その結果として企業の信用や業績も落ち込んでしまっている例が散見されている社会環境にもかかわらず、必要最低限の設定もしていないのだ。このような企業では、経営の中でセキュリティ対策がほとんど無視されていると言っても過言ではないだろう。

　それにもかかわらず、「3」の結果を見ると38.9％がBYOD（私物の情報機器の業務利用）を認めており、この割合はBYODに消極的とされる大企業よりかなり大きい。もちろん、BYODを認めている中小企業の中には「2」で触れたパスワード設定を実施していない企業も含まれるはずだ。こうなると、セキュリティ対策以前に、企業として管理なども全く考慮もされずに放置されているIT機器と言った方が正しくなる。

　つまり、それらの企業はパスワード設定すらしていない私物の端末から重要な経営情報や営業秘密になるような情報へのアクセスを認めている。そして、その端末を従業員が家庭に持ち帰り、子供に貸し与えることもあるだろう。どんな企業が運営しているかも分からないオンラインゲームや、アダルトサイトにアクセスしている端末も少なからずあるだろう。

　このような中小企業の野放しなIT機器の運用は、その会社自らが情報を“だだ漏れ”させる状況を生んでおり、攻撃者が好む状況を自ら作っていることと同じだ。本来BYODは一定の管理ルールさえあれば、むしろ非常に効率的な仕組みであり、それほど悪いことではない。しかし、管理ルールづくりすらしない安易なコスト削減を目的としたBYODが、情報漏えいなどの大事故につながることは想像に難くない。運用を決めずに野放しされたITによって、企業は抑えられたコスト以上に大きなリスクを抱える。