中小企業におけるサイバーリスク管理の実態
「2015年度 中小企業における情報セキュリティ対策に関する実態調査」(IPA)によると、主要なサイバー攻撃の手段である「標的型攻撃」への取組状況は、企業規模を問わず、約半数の企業が「十分と感じる」もしくは「どちらかと言えば十分と感じる」と回答しており、対策は「十分」と考える企業が多い。
ただし、同調査では情報セキュリティ教育の実施状況、情報セキュリティ体制の整備状況、セキュリティ関連製品やサービスの導入状況は以下の通りで、真に十分な対策が講じられているとは言いがたい。
- 情報セキュリティの「担当者を置いている企業」は半数程度(中小企業では半数をやや超える、小規模企業では2割弱)
- ウイルス対策ソフト・サービスの導入、ファイアウォールといった基本的な対策で60~85%程度 IDS/IPSやWAFといった対策やサービスの導入は数%~10数%
- 教育について、半数以上の事業者が「特に実施していない」と回答
中小企業が押さえておくべきサイバーセキュリティ対策のポイント
サイバー攻撃への対策の指針は、「サイバーセキュリティ経営ガイドライン」に示されている。
同ガイドラインは、2014年11月に成立したサイバーセキュリティ基本法に基づいて策定されたものであり、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる情報セキュリティ最高責任者(CISO)など担当幹部に指示すべき「重要10項目」をまとめている。

経営者が認識する必要のある「3原則」(出典:経済産業省/IPA「サイバーセキュリティ経営ガイドライン」)