SMBが情報保護に本腰、年平均で5万ドルの投資も~Symantec調べ
 |
| プロダクトマーケティング部 リージョナルプロダクトマネージャの広瀬努氏 |
株式会社シマンテックは19日、「2010年中小規模企業(SMB)情報保護調査(英語)」の結果を発表。「SMBは現在、平均5万1000ドル/年と、ITスタッフの労働時間の3分の2を費やし、情報保護の取り組みに本腰を入れていることが分かった」(プロダクトマーケティング部 リージョナルプロダクトマネージャの広瀬努氏)とした。
世界中(28カ国)の2152社の中小企業(10人~499人規模)を対象に、5月に実施した電話調査の結果。
これによると、中小企業は、業務にとって最も危険なものとして、「従来の犯罪活動」「自然災害」「テロ活動」よりも、「情報漏えい」や「サイバー攻撃」を多く挙げた。
実際に、回答企業の74%が「ある程度」または「非常に」、重要な業務情報の漏えいを懸念しており、42%が過去に「情報漏えいを経験した」と回答。その原因としては機器紛失が多く、回答企業のほぼ3分の2に当たる企業がノートPC、スマートフォン、iPadなどの機器を「過去12カ月に紛失した」と回答した。
 |  |
| 情報漏えいとサイバー攻撃の危険性を重視 | 74%の企業が重要な業務情報の漏えいを懸念 |
 |
| 情報漏えい時の損失・被害額 |
また、情報漏えいによる金銭的な損失を訊ねると、「直接的な金銭被害」「株価の下落」「信用の低下」「収益の損失」などさまざまなパターンが挙がり、いずれにしても5000ドルほどの損失につながるという結果が出た。
特に「直接的な金銭被害」に関しては、中央値(回答の最も多い値)こそ5000ドルだが、平均値では19万ドル以上となっており、「少なくとも日本円で1800万円ほどの損失を出した企業がいるということを念頭に置くべき」(同氏)とした。
 |
| ITサポートスタッフは労働時間の3分の2を情報保護関連の作業に費やしている |
一方、ITサポートスタッフが作業に費やす時間を訊くと、「コンピュータセキュリティ」に27%、「バックアップ・リカバリ・アーカイブ」に24%、「災害対策」に18%の時間を割いており、「労働時間の3分の2を情報保護関連の作業に費やしていることが分かった」(広瀬氏)。
実際の対策状況を見ると、例えばエンドポイントセキュリティでは92%の企業が「マルウェア対策」を、72%が「クライアントファイアウォール」を、40%が「HIPS」を導入済みと回答。バックアップ・リカバリも「インストール済み/実装中」の回答合わせて8割を超え、それよりも若干普及が遅れるアーカイブについても75%に達するなど悪くない結果に。
ただし災害対策に関しては、87%が計画を立案済みとするも、その計画が「大変よい」「よい」と自己評価する企業は23%に過ぎず、「まだ問題を抱えている」(同氏)と指摘する。
 |
| IMやソーシャルメディアの脅威は従来のメールなどと変わらない認識 |
もう1点、懸念されるのが、メッセージング/コラボレーションセキュリティに関してだが、最近の傾向として、インスタントメッセージ(IM)やミニブログ、ポッドキャスト、SNSなどのソーシャルメディアツールなど、コンシューマ寄りのツールがSMBで広く活用され始めている。なおかつ、企業自体でその業務使用を認めているケースも増えており、新たな脅威となる可能性があるとする。
しかしユーザー自身はこうしたツールの利用について、従来のメールなどと脅威に差はないと認識しており、「新しいツールに対して転ばぬ先の杖を考えるより、イノベーションによる生産性向上を優先させがちなのだろう」(同氏)と分析している。
 |  |
| IMの利用割合 | ソーシャルメディアツールの利用割合。いずれも4割ほどの企業で業務使用が認められている |
■シマンテックからの提唱
これら調査結果を踏まえ、シマンテックは「SMBが情報保護に取り組む際の推奨事項」として「社員教育」「重要な業務情報の保護」「効果的なバックアップ・リカバリ計画の実装」などを挙げた。
教育については、「インターネットセキュリティガイドラインを作成し、最新の脅威やセキュリティについて従業員を教育する。トレーニングの一環として、パスワードの定期変更やモバイル機器の保護の重要性に焦点を当てるように」(同氏)と説明。
また、「1つの情報漏えいが財務破たんにつながりかねないSMBこそ、総合的な保護ソリューションを実装するなど機密情報の保護を最優先すべき」とし、さまざまなリスクと対策が考えられるが、ハードウェアの故障や故意のデータ削除といったケースが報告されていることからも、「バックアップ・リカバリ対策を十分に行うように」と提唱した。