8つの機能で情報セキュリティを担保する「PC運用上手」

情報セキュリティ対策は企業にとって不可欠であるものの、とりわけ中小企業の多くは「社員のセキュリティ意識の向上が難しい」、「予算が限られている」、「専任の管理者がいない」といった課題を抱えていることが、ZDNet Japanと東芝が合同で実施したアンケート結果で明らかになった。東芝の「PC運用上手」は、そんな中小企業の情報セキュリティ課題を解決すべく必要な8機能を簡単・低価格で提供する、今注目のアプライアンス製品だ。

何をどこからすべきか分からない

　一般に企業の情報セキュリティ対策の目的とは、ウイルスやファイル共有システム、あるいは内部犯行などによる情報漏えいやシステムの停止・破壊といった脅威に対し、利便性にも留意しながら機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）を高い次元で確保し、不安のない安全な状態を維持することにある。そのためには、経営者を含めた社内メンバーで適切なセキュリティルールを定義した上で、専任の担当者とセキュリティの委員会などを設置し、問題点を分析し、具体的な業務手順書を策定して実行する必要がある。

　また、それを実現する情報システムの見直しと社員へのセキュリティ教育を行い、必要に応じて運用状態を点検し、ポリシーや手順を柔軟に見直していくことも重要だ。情報セキュリティは業種や規模の大小を問わず、現代の企業全てが取り組むべき課題といえる。

　しかし、そう述べながらも現実はどうだろうか。中堅以上の企業に比べて、情報セキュリティに関する知識者が少ない、専任のセキュリティ担当者がいない、さらにはセキュリティ対策の予算もあまりないという課題を抱える中小企業にとって、これら教科書通りのセキュリティ対策の実施は困難であり、「何をどこからすべきか分からない」と戸惑う企業も多いのが実態だ。

情報セキュリティ投資に消極的な中小企業

　IPA^※が2009年10月に公開した「中小企業における情報セキュリティ対策の実施状況等調査」の報告によると、情報セキュリティ対策の入門レベルを想定し、最低限実施すべき項目をIPAがまとめた「5分でできる自社診断シート」を用いて確認したところ、66社中43社（65%）が合格ラインの70点に満たなかったという。

図1　IPA^※が作成した「5分でできる! 中小企業のための情報セキュリティ自社診断シート」における自社診断点数の割合（「『中小企業における情報セキュリティ対策の実施状況等調査』調査報告書、2009年10月」を参考にZDNet Japanが作成）

　この報告書の中でIPA^※は 、多くの中小企業は社内でのルール化や重要情報の明確化など組織全体としての取り組みが全体的に弱く、外部の情報セキュリティ専門家からの助言や自ら積極的な情報収集も行っていないほか、情報セキュリティ投資についても経営層の理解を得られないため、対策が必要最低限に絞られ消極的な傾向にあると分析している。

※IPA：情報処理振興事業協会