Biz Clip調査レポート（第19回） 企業の情報セキュリティ対策意識調査2020

　企業における情報セキュリティ対策の整備度合い、また、脅威に対しどんな意識を持っているか。その最新実態について2020年1月に調査を行った。調査は、日経BPコンサルティングのアンケートシステムにて、同社保有の調査モニター3549人を対象に実施した。

情報セキュリティ対策が万全だと認識する割合は半数未満

　社内の情報セキュリティ対策が「万全だと思う」と回答したのはわずか5.2％。2019年調査の4.5％よりも、0.7ポイントアップしたが依然としてかなり少ない。「まあ万全だと思う」と回答した企業は38.7％で、こちらは2019年の39.4％から0.7ポイントのダウン。トータルでセキュリティを万全と感じている企業の割合は、横ばいとなった。2018年から3年間の結果を見ても、進歩は読み取れない。

　一方、「万全だとは思わない」は6.8％で前回よりも0.4％ポイントアップ。「あまり万全だと思わない」が15.5％で、前回より0.5ポイント上昇した。こちらは2018年調査から増加傾向なのが読み取れる（図1-1）。

　企業の従業員規模で見ると、情報セキュリティ対策が万全と感じる比率が高いのは、1万人以上の企業で9.3％。「万全だと思う」と「まあ万全だと思う」を合わせると、99人以下の企業の選択率が3割程度なのに対し、1万人以上の企業では約6割で、2倍程度になっている。この傾向は2018年調査から変わらない。従業員規模が小さいほど情報セキュリティ対策は十分ではないと感じている傾向がある（図1-2）。

【図1-1 社内の情報セキュリティ対策は万全か(2018～2020年比較)】

【図1-2 社内の情報セキュリティ対策は万全か(従業員数別)】

脅威ナンバーワンは標的型攻撃、内部不正も大幅アップ

　社内の情報資産管理で最も脅威なのは、「標的型攻撃による情報流出」。全体の24.3％が選択した。それに続くのが「内部不正による情報漏えい」で、21.1％が選択。2019年の17.2％から3.9ポイントの大幅アップとなった。2019年調査でも2018年調査から上昇が著しい「災害等不測の事態に伴う情報の消失」は、さらに2.3ポイントアップして13.1％になった。

　役職別で見ると、「災害等不測の事態に伴う情報の消失」に対し、最も脅威と感じる役職は、「役員」（21.1％）と「会長・社長」（19.8％）。一方、「係長・主任」や「一般社員・職員」は平均以下になった。「係長・主任」が脅威に感じている比率が高いのは「標的型攻撃による情報流出」だった（図2-1）。

【図2-1 社内の情報資産管理で最も脅威と感じること(役職別)】

　従業員規模では、トップの「標的型攻撃による情報流出」が、99人以下の企業で18.3％なのに対し、1万人以上の企業では32.3％と14ポイントもの差がついた。標的型攻撃に関しては、従業員規模が大きい方が、脅威を感じる比率が高くなる傾向が明確に表れた。

　一方、従業員規模が小さい企業で、選択率の高い傾向がある項目は、「災害等不測の事態に伴う情報の消失」となった。99人以下の企業では17.6％が選択した（図2-2）。

【図2-2 社内の情報資産管理で最も脅威と感じること(従業員数別)】

「ウイルス対策」は7割対応済み。小規模企業の対応が遅れ気味

　すでに導入されている情報セキュリティ対策で、最も多いのは「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」で76.4％。他の対策よりも圧倒的に導入が進み、99人以下の企業でも70％を超えた。しかし、それ以外の項目では99人以下の企業の導入率は、規模の大きい企業よりもかなり低い状況だ。

　例えば、「社内ネットワークへの不正侵入検知・フィルタリングの実施」や「USBメモリー等による情報の持出し規制・社外送信メールにおけるファイル添付規制」は、500人以上の企業では6割以上が導入済みだが、99人以下の企業では2割程度にとどまる（図3）。

【図3 すでに導入されている対策（MA）】

今後重視する項目で「社員研修」がトップに

　情報セキュリティにおいて、今後さらに必要・重要と思われる対策は、2019年の結果の上位3つは、順位は入れ替わったものの同様だった。2020年に一番多かったのは、「社員への情報セキュリティ研修の実施」（30.0％）で、2番目が「社内ネットワークへの不正侵入検知・フィルタリングの実施」（28.8％）、3番目が「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」（26.2％）だった。2019年の順番は「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」（32.4％）、「社員への情報セキュリティ研修の実施」（31.3％）、「社内ネットワークへの不正侵入検知・フィルタリングの実施」（31.2％）。「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」は2018年調査では37.7％だった。2年間で10ポイント以上もダウンした（図4-1）。

【図4-1 今後さらに必要(重要)と思われる対策】

　役職別で特徴的なのは、会長・社長が最も必要・重要と考える項目として、「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」が42.5％と突出している点だ。一方「社員への情報セキュリティ研修の実施」は、全体が30.0％なのに対して14.2％。どの役職にも属さない「その他」20.0％と共に、他の役職より大幅に低い選択率となった（図4-2）。

【図4-2 今後さらに必要(重要)と思われる対策（役職別）】

実施上の最大の課題はコスト。中小では人材不足も悩み

　情報セキュリティ対策を実施する上での課題のトップは「コスト面の不安がある」で、全体の30.1％が選択した。ただ、この回答に関しては、従業員規模による傾向の違いは見られなかった。企業規模による違いが明確だったのは、「社内に対策スキルを持つ人がいない」と「社内に専任の担当（部署）がない」選択肢。小規模な企業ほど、この項目を選んだ比率が高い。IT人材の不足に悩む中小企業の姿が見て取れる（図5）。

【図5 情報セキュリティ対策を実施する上で課題（従業員数別）】

　2018年、2019年の調査と比較すると、セキュリティへの危機感が多少高まっているものの、なかなか対策強化に結び付いてないといえる。特に中小規模の企業に関しては対策遅れが目立つだけに、早急な対応が求められる。ただ、いざやろうとしても、人材不足の壁が立ちはだかる。それを乗り越えるには、外部の積極活用など、発想の転換が求められる。

＜本調査について＞
日経BPコンサルティングのアンケートシステムにて、同社モニター3549人を対象に2020年１月に調査