中小企業の情報セキュリティ対策の実態
ITの活用と情報セキュリティ対策のバランス
情報セキュリティとは何だろう?情報システムにセキュリティ・ソフトを導入しさえすれば対策になると考える人は少なくない。約9割の企業がセキュリティ・ソフトを導入済みという調査結果からも、その浸透性の高さが分かる(図1-1)。確かに、ウイルスが見つかる手段としてはセキュリティ・ソフトが大半を占めており、その効果は表れているようだ(図1-2)。しかし、セキュリティ・ソフトや機器を使用すればセキュリティ対策は万全なのだろうか?
今回は、IPAが実施した「国内における情報セキュリティ事象被害状況調査」の結果をもとに、効果的な情報セキュリティ対策について述べる。これから対策に取り組もうとする企業はもちろん、既に何らかの対策を施している企業にも、セキュリティ強化の参考にしていただきたい。
ネットワークやインターネットなどのITの普及は利便性を向上させたが、同時に情報漏えいなどの危険性が高まったことはご承知の通りだ。ITが拡大するスピードに、情報セキュリティ対策が追い付いていない。これは、情報セキュリティ担当者が不在、または担当兼務としている企業が過半数に達することからも見てとれる(図1-3)。これらの企業にとっては、情報セキュリティよりも優先されるほかの業務があり、さらに近年の経済危機が影響し、セキュリティ専任者を配置できない状況なのだろう。
だが、少しだけ考えてみてほしい。業務の効率的な遂行は、ITなしで実現できただろうか?会社にとって重要な作業や情報の保存は、ITを使わずに行えるだろうか?もしITをまったく使用できないとしたら、企業のあり方はどう変わるだろうか。ちょっと振り返っただけでも、ITが業務遂行に欠かせないツールになっている現実に、あらためて気づかされるのではないだろうか。この必須ツールが、脅威に晒(さら)されたまま放置されないよう、もう一度ITの利用状況を確認し、セキュリティ対策の必要性を再認識していただきたい。
耳慣れた「情報セキュリティ」の落とし穴
さて、冒頭で述べたとおり、ウイルスなどに対抗するセキュリティ・ソフトは大多数の企業で導入済みだ。それにも関わらず、調査によると、ウイルス対策はいまだに知りたい情報の上位として挙げられている(図1-4)。さらに、従業員300人以上の大企業では7割超、300人未満の中小企業では半数近くの企業が日常業務の中でウイルスを発見、またはウイルスに感染している(図1-5)。
これは、「セキュリティ・ソフトの導入=完全なウイルス対策」ではないことを表している。なぜセキュリティ・ソフトの導入が完全なウイルス対策にならないのだろうか?ソフトウエアの不具合や脅威の多様化が大きな要因と思われがちだが、実は、使用する「人」に起因するケースが少なくない。
セキュリティ・ソフトは常時ウイルスなどの動きを監視しており、パソコンの動作を鈍くさせることがある。ユーザーは作業の能率を上げるため、この監視機能をオフにしてウイルスの侵入を許してしまう。また、日々、新種・亜種が発見されているウイルスに対応するためには、パターン・ファイルなどの最新情報を取り込む必要があるが、これを怠って新種ウイルスに感染するケースもある。
このような人的な脆弱(ぜいじゃく)性をふさがなければ、どんなに高額な機器を導入しても機密情報は守れない。これはセキュリティ・ソフトの使用方法に限ったことではなく、情報セキュリティ全般において、ユーザーがどのような行動をとるか(またはとらないか)が情報の漏えい/紛失/破壊の要因となっていることが多いのだ。