中小企業の情報セキュリティ対策の実態

2009年11月11日(水)
石田 淳一/大谷 槙吾

ITの活用と情報セキュリティ対策のバランス

情報セキュリティとは何だろう?情報システムにセキュリティ・ソフトを導入しさえすれば対策になると考える人は少なくない。約9割の企業がセキュリティ・ソフトを導入済みという調査結果からも、その浸透性の高さが分かる(図1-1)。確かに、ウイルスが見つかる手段としてはセキュリティ・ソフトが大半を占めており、その効果は表れているようだ(図1-2)。しかし、セキュリティ・ソフトや機器を使用すればセキュリティ対策は万全なのだろうか?

今回は、IPAが実施した「国内における情報セキュリティ事象被害状況調査」の結果をもとに、効果的な情報セキュリティ対策について述べる。これから対策に取り組もうとする企業はもちろん、既に何らかの対策を施している企業にも、セキュリティ強化の参考にしていただきたい。

ネットワークやインターネットなどのITの普及は利便性を向上させたが、同時に情報漏えいなどの危険性が高まったことはご承知の通りだ。ITが拡大するスピードに、情報セキュリティ対策が追い付いていない。これは、情報セキュリティ担当者が不在、または担当兼務としている企業が過半数に達することからも見てとれる(図1-3)。これらの企業にとっては、情報セキュリティよりも優先されるほかの業務があり、さらに近年の経済危機が影響し、セキュリティ専任者を配置できない状況なのだろう。

だが、少しだけ考えてみてほしい。業務の効率的な遂行は、ITなしで実現できただろうか?会社にとって重要な作業や情報の保存は、ITを使わずに行えるだろうか?もしITをまったく使用できないとしたら、企業のあり方はどう変わるだろうか。ちょっと振り返っただけでも、ITが業務遂行に欠かせないツールになっている現実に、あらためて気づかされるのではないだろうか。この必須ツールが、脅威に晒(さら)されたまま放置されないよう、もう一度ITの利用状況を確認し、セキュリティ対策の必要性を再認識していただきたい。

耳慣れた「情報セキュリティ」の落とし穴

さて、冒頭で述べたとおり、ウイルスなどに対抗するセキュリティ・ソフトは大多数の企業で導入済みだ。それにも関わらず、調査によると、ウイルス対策はいまだに知りたい情報の上位として挙げられている(図1-4)。さらに、従業員300人以上の大企業では7割超、300人未満の中小企業では半数近くの企業が日常業務の中でウイルスを発見、またはウイルスに感染している(図1-5)。

これは、「セキュリティ・ソフトの導入=完全なウイルス対策」ではないことを表している。なぜセキュリティ・ソフトの導入が完全なウイルス対策にならないのだろうか?ソフトウエアの不具合や脅威の多様化が大きな要因と思われがちだが、実は、使用する「人」に起因するケースが少なくない。

セキュリティ・ソフトは常時ウイルスなどの動きを監視しており、パソコンの動作を鈍くさせることがある。ユーザーは作業の能率を上げるため、この監視機能をオフにしてウイルスの侵入を許してしまう。また、日々、新種・亜種が発見されているウイルスに対応するためには、パターン・ファイルなどの最新情報を取り込む必要があるが、これを怠って新種ウイルスに感染するケースもある。

このような人的な脆弱(ぜいじゃく)性をふさがなければ、どんなに高額な機器を導入しても機密情報は守れない。これはセキュリティ・ソフトの使用方法に限ったことではなく、情報セキュリティ全般において、ユーザーがどのような行動をとるか(またはとらないか)が情報の漏えい/紛失/破壊の要因となっていることが多いのだ。

著者
石田 淳一/大谷 槙吾
IPA セキュリティセンター
【石田 淳一プロフィール】
IPA セキュリティセンター 企画グループ 研究員。情報セキュリティセミナーなど多くのセミナーで講師を務めるなど情報セキュリティ対策の普及啓発活動に従事。株式会社アールジェイ代表取締役。
【大谷 槙吾プロフィール】
2006年7月よりIPA セキュリティセンター 情報セキュリティ技術ラボラトリーに所属。情報セキュリティ早期警戒パートナーシップに基づく脆弱性関連情報の分析・流通業務の他、脆弱性を中心とした情報セキュリティ対策の普及啓発活動に従事。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています