デジタルハーツは4月23日、中小企業におけるセキュリティリスクの実態調査に関する概要を発表した。適切なセキュリティ対策を実施できている中小企業が極めて少ないという実態が明らかになった。
その要因として、具体的かつ適切なセキュリティ対策を実行するための知見や人材が不足しているため、導入コストを鑑みた最適なサービスやツールの選定、その後の運用ができないことや、現在市場に提供されているセキュリティソリューションの多くが多額の費用を要するため導入しずらいことなどが挙げられた。
この調査は業種や従業員数などを勘案せず、無作為に選定した中小企業を対象にしている。経済産業省の「イノベーション経営の実現に関する調査研究」として同社が担当し、調査結果を同省に提供した。調査方法は、IT資産の保有状況やセキュリティ対策の適用状況に関するヒアリングと、エフセキュアの脆弱性診断ツール「F-Secure Radar」を用いた実地調査による。
調査結果のトピック(出典:デジタルハーツ)
セキュリティ対策製品の導入状況は、エンドポイントセキュリティが最も多く、次いでファイアウォール、メールセキュリティなどが多かった。これに対し、UTM(統合脅威管理)や社内ネットワークへの不正接続対策、多層防御の実施などは、いずれも1割程度にとどまる。
この結果についてデジタルハーツは、多くの企業において、エンドポイントセキュリティ等部分的な対策は実施されている一方、多層防御の観点における十分な対策がなされておらず、サイバー攻撃への防御策としては脆弱な状態だとした。
セキュリティの維持や運用・保守状況については、PCやサーバなどへの定期的なパッチ適用が実施されている企業は約4割だが、保有するIT資産の正確な把握状況やセキュリティに関する定期的な見直しの実施状況が「適正」と判断されている企業は1~2割程度と低かった。
また調査対象の全企業において、IT資産に何らかの脆弱性を検出され、危険度の高いものも多数確認されるなど、潜在的な脆弱性があることが判明した。