効果的な投資はできているか 中小企業に最適な統合セキュリティ対策

中小企業も、セキュリティ対策に継続的に投資している。にもかかわらず、情報漏えい件数は増え続けているのが現状だ。セキュリティ専門技術者の確保が難しい中小企業では、ばらばらに製品やソリューションを選択し運用するのではなく、統合的で容易な運用ができるソリューションが望まれている。中小企業を取り巻く市場背景と合わせ、中小企業のニーズに合致したセキュリティ対策ソリューションを紹介する。

漏えい人数は減ったが漏えい件数は大幅に増加

　個人情報保護法施行から、すでに4年以上の月日が経過した。この間、企業ではさまざまな対策を進めてきたはずだが、情報漏えい事故の報道は後を絶たない。日本ネットワークセキュリティ協会の「JNSA2008年 情報セキュリティインシデントに関する調査報告書」によると、2008年は2007年に比べ情報が漏えいした人数は723万人で、個人情報保護法施行後ではもっとも少なかったとのこと。しかしながら、漏えい人数は、その年に100万人を超える規模の漏えいが数件発生すれば、それに大きく影響されてしまうものであり、この数字が小さかったからと言って手放しに喜べる状況にはない。

　むしろ問題なのは、漏えい件数の増加だ。2008年の漏えい件数は1373件で、調査を開始した2002年以降最多だ。2007年からは、じつに509件も増えているのだ。これは、自治体などが情報を積極的に公開した結果でもあるが、世の中にはこの調査では明らかにされていない漏えい事故もあるはずなので、実際にはさらに多い数の情報漏えいが発生していると考えられる。日本ネットワークセキュリティ協会では2008年の被害金額は2367億円を超えるとも予測している。

　さらに、漏えい人数を細かく見ると、1件当たり1000人を超える大規模な漏えい件数はここ最近横ばい状況だが、小規模な漏えい件数は2007年に比べ大きく増加している。これは、個人情報を大量に保有する企業が適切な情報漏えい対策を施し成果が現れてきたとも言えるが、逆に小規模な漏えいは依然として減っていない。

小規模漏えいを防ぐ効率的な対策が望まれる

　各企業では、さまざまなセキュリティ対策をすでに実施している。個人情報保有の有無にかかわらず、いっさいセキュリティ対策を施していない組織はありえない。独立行政法人情報処理推進セキュリティセンターの「2008年 国内における情報セキュリティ事象被害状況調査 報告書」によると、2008年にセキュリティ対策に100万円以上のコストをかけた組織は43.4％あり、何らかの投資をした組織はおよそ8割にのぼる。このように、多くの企業がセキュリティ対策に継続投資しているにもかかわらず、漏えい件数は減るどころか増える傾向にあるわけだ。

　ばく大な個人情報を抱える企業では、個人情報がビジネスの根幹でもありコストも手間もかけ厳重に管理される。しかしながら、あまり多くの情報を保持せず個人情報取扱事業者に該当しないとなれば、対策はどうしても手薄になる。とはいえ、数は少なくてもクレジットカード情報などの漏えいがいざ起これば、企業はその責任を追及され、信頼の回復には多大な手間と時間、コストがかかる。投資が難しい中小企業であれば、ほんのささいな漏えい事故が企業の存続に大きく影響を与えかねないのだ。

　しかし、セキュリティ対策は保険のようなもの。何も被害のない状況でばく大な投資を判断するのは難しい。さらに、中小企業では、セキュリティ専門家を確保することも容易でない。専門家がいないので、場当たり的な対策になりがちとなり、結果、対策はしているがなかなか万全な体制に近づけない現状もある。中小企業においては、漏えいを効率的に防げる統合的な対策がいま早急に求められている。そして、継続しているセキュリティ対策への投資を、より効果のあるものにしなければならない。