近年、中小企業においても社内に「情報システム」の導入が一般化してきています。
情報システムとは、PCや自社サーバー(ローカルエリアネットワーク内のサーバー)といったものだけでなく、勤怠管理や業務管理、メールホスティングやグループウェアといった社外のインフラシステムなども含まれます。
これらの情報システムは、導入すればそれで終わりではなく、トラブルや情報漏えいを防ぐため、日々のアップデートやメンテナンス、障害時の対応など、さまざまな備えが必要となります。
では、中小企業はこれらの情報システムに関して、どのようなセキュリティ対策(やデータ管理)を行っているのでしょうか。
そこで今回、青森県内においてITサービスなどを提供している株式会社テクノル(https://www.technol.co.jp/)は、従業員数300人以下の中小企業の情報システム部門の方(元も含む)を対象に、「中小企業のセキュリティ状況」に関する調査を実施しました。
はじめに、情報システムの管理に関する調査を行いました。
「情報システムを自社だけで管理(アップデートやメンテナンス、バックアップなど)することに対して、どのくらい負担を感じますか?」と質問したところ、『とても負担を感じる(36.0%)』『やや負担を感じる(49.8%)』『負担は感じない(14.2%)』という回答結果になりました。
8割以上の方が、自社だけで情報システムを管理することに負担を感じている(とても負担を感じる、やや負担を感じる)ようです。
管理以外でも、例えば障害発生時にはかなり大きな負担がかかることが予想されます。
その際には、どのように対応しているのか具体的にお聞きしました。
■システムやネットワークの障害発生時には、どのように対応している?
・想定される障害の対処マニュアルを作成しておき、発生した障害に応じた対処、及び関連部署への連絡を行う。関連部署もマニュアルに記載しておく(20代/女性/青森県)
・障害検知アラートを設置しているので、鳴ったら当日担当のエンジニアが対応する(30代/女性/京都府)
・システムのバックアップを復元適用して、システムの回復を実行する。それでも解決しない場合はベンダーに相談する(30代/男性/埼玉県)
・全社員の閲覧可能なポータルサイト上に障害報告を掲載し、影響が大きいと思われる部門には電話連絡を行う(40代/女性/東京都)
・24時間対応のセキュリティ会社と連携して復旧に努める。カスタマーからのクレーム処理も同時に行う(40代/男性/沖縄県)
・発生した障害の原因特定→影響範囲の特定→復旧手順の作成→復旧スケジュールの作成→関係部署への連絡→復旧作業の実施(50代/男性/東京都)
などの回答が寄せられました。
日常的に行われている管理のほか、障害発生時には各方面に速やかに対処する必要があるため、これら全てを自社だけで対応することは負担かもしれません。
情報システムを自社だけで管理することに対して、負担を感じている方が多いことが分かりました。
情報システムは管理運用や障害発生時の対応だけでなく、セキュリティ対策も疎かにはできないでしょう。
では、ご自身が所属している社内セキュリティをどのように評価しているのでしょうか。
そこで、「社内のセキュリティシステムは万全だと思いますか?」と質問したところ、『万全だと思う(9.5%)』『それなりに問題ないと思う(72.2%)』『危険だと思う(18.3%)』という回答結果になりました。
セキュリティシステムに対する評価の割合が分かりました。
では、中小企業ではどのようなセキュリティ対策をしているのでしょうか。
続いて、「社内で使用している全般的な情報システムに対して、どのようなセキュリティ対策をしていますか?(複数回答可)」と質問したところ、『パスワード(認証)の設置(68.2%)』と回答した方が最も多く、次いで『ウイルスやマルウェアなど不正プログラム対策(監視ツールの導入など)(50.4%)』『OSやアプリケーションの脆弱性対策(最新アップデート)(49.1%)』『不正アクセス対策(32.3%)』『ネットワーク監視や侵入検知(25.1%)』『監視サーバーの導入(24.9%)』『アクセス制御、権限管理(24.2%)』『データの暗号化(21.7%)』『システムの自動監視(12.6%)』『有人による監視(9.7%)』『DMZの設置(8.9%)』と続きました。
セキュリティ対策には数多くの手段(方法)がありますが、7割近くが「パスワード(認証)の設置」を採用していることが分かりました。
セキュリティには「セキュリティホール(脆弱性)」が付き物ですが、監視ツールの導入や最新アップデートといった複数のセキュリティ対策(ツール)を組み合わせることで、より安全性を高めることができるかもしれません。
- データバックアップにクラウドサービスを導入している企業の割合は?導入しない理由とは?
ここまでの調査で、中小企業で行われている情報システムの管理状況や障害発生時の対応、行われているセキュリティ対策などが次第に明らかになりました。
では、情報システムのデータはどのように扱っているのでしょうか。
「情報システムに関するデータの保存先としてクラウドを導入していますか?」と質問したところ、『はい(62.4%)』『いいえ(37.6%)』という回答結果になりました。
「クラウド(サービス)」を簡単に説明すると、サーバーなどが無くともインターネットを経由して利用できるサービスのことです。
データを保存するためのクラウドサービスを「オンライン・ストレージ・サービス」(ストレージとは画像や文書、音楽といったデータを保存しておく場所)などと呼びますが、6割以上の方がクラウドサービスを導入していることが分かりました。
では、“そうでない方”はどのような理由があって導入していないのでしょうか。
前の質問で『いいえ』と回答した方に、「情報システムに関するデータの保存先でクラウドを導入していない理由として近いものはどれですか?(複数回答可)」と質問したところ、『社外にデータを保存するのが不安(39.6%)』『コストがかかるから(39.6%)』と回答した方が最も多く、次いで『万が一の事故や情報漏えいに対する不安(22.6%)』『外部(第三者)に社内データを保存することが不安(信用できない)(22.1%)』『社内だけで十分だと思うから(16.5%)』『経営陣(上司)が必要だと認識していない(16.0%)』『リスクがどれほどあるのか分からないから(13.1%)』『社内規定で禁止されている(6.6%)』と続きました。
社外にデータを保存する不安やコストといった理由があることが分かりました。
また、事故や情報漏えいに対する不安も、導入に前向きではない理由の1つのようです。
- データとバックアップデータ、もしかして同じ場所に保存している?
データバックアップに導入している企業の割合が分かりました。
では、データをクラウドに保存していない方は、どこに保存しているのでしょうか。
ここからは、情報システムに関するデータの保存先としてクラウドを導入していない方にスポットを当て、さらに調査を進めました。
「情報システムに関するデータはどこに保存していますか?(複数回答可)」と質問したところ、『自社サーバー(61.7%)』と回答した方が最も多く、次いで『NAS(17.9%)』『外付けSSD・HDD(17.3%)』『PCのSSD・HDD(13.9%)』『USBメモリ(12.6%)』『社外サーバー(レンタルサーバーなど)(11.0%)』『SDカードなどデータカード(7.4%)』『FD(1.8%)』と続きました。
自社サーバーにデータを保存していると回答した方が6割以上と最多となりました。
その他では、NAS(ネットワーク・アタッチド・ストレージ。コンピュータネットワークに直接接続して使用するファイルサーバ。通称「ネットワーク対応HDD」)、もしくは外付けのSSDやHDDにデータを保存している方が比較的多いようです。
システムやネットワークに障害が発生した際、バックアップがあれば復元が可能です。
バックアップは定期的に取ることが好ましいですが、行っている割合はどのくらいなのでしょうか。
そこで、「情報システムに関するデータは、定期的にバックアップを取っていますか?」と質問したところ、『はい(78.0%)』『いいえ(22.0%)』という回答結果になりました。
約8割の方が定期的にバックアップを取っているようですが、そのバックアップデータはどこに保存しているのでしょうか。
続いて、「バックアップデータはどこに保存していますか?(複数回答可)」と質問したところ、『自社サーバー(59.6%)』と回答した方が最も多く、次いで『外付けSSD・HDD(27.6%)』『NAS(19.5%)』『USBメモリ(12.1%)』『PCのSSD・HDD(7.4%)』『社外のサーバー(レンタルサーバーなど)(7.1%)』『SDカードなどデータカード(5.7%)』『FD(1.4%)』と続きました。
6割近くの方が自社サーバーにバックアップデータを保存しているようです。
マスターデータの保存先と同じ場所にバックアップデータを保存している場合、障害発生時にバックアップデータまで失われてしまう可能性が高いでしょう。
その他に、外付けSSD・HDDやNASと回答した方の割合も比較的多くみられましたが、故障や災害などでデータが失われる可能性が高いため、重要なデータは複数バックアップを取っておいた方が良いかもしれません。
では最後に、定期的にバックアップを取ってない方も2割いましたが、どのような理由があるのでしょうか。
先程の質問で『いいえ』と回答した方に、「バックアップを取っていない理由として近いものを教えてください(上位3つまで)」と質問したところ、『定期的にバックアップを取る習慣がない(44.1%)』と回答した方が最も多く、次いで『バックアップに使えるような設備がない(28.6%)』『バックアップを取るほどの重要データではない(21.4%)』『バックアップを取れるほどの容量がない(16.7%)』『現場にそういったモチベーションがない(15.5%)』と続きました。
定期的に取るといった習慣がないこと、バックアップに使える設備がないこと、バックアップを取るほどの重要データではないこと、などが主な理由にあるようです。
- 【まとめ】中小企業が行っている情報システムのセキュリティ対策とデータ管理の実態が明らかに!
今回の調査で、中小企業における情報システムの管理運用の実状が明らかになりました。
7割近くがパスワード(認証)の設置といったセキュリティ対策を行っている一方、データ管理はクラウド(オンラインストレージ)を導入していない企業が3割以上もあることが分かりました。
社外にデータを保存する不安やコスト面といった理由があるようですが、重要なデータを保存しておくためには、クラウドに保存することが最も安全だといえるかもしれません。
クラウドを導入していない方の6割が、データの保存先に自社サーバーと回答し、さらに半数以上の方が自社サーバーにバックアップデータを保存していると回答しました。
マスターデータとバックアップデータの保存先が同じということは避けたいものです。
また、壊れる可能性のある機器にしかデータを保存していないと、故障や災害で「企業データが全て消える」ことがあるため、重要なデータは定期的にバックアップを取る必要があるでしょう。
- データ管理とセキュリティ対策なら「株式会社テクノル」
今回、「中小企業のセキュリティ状況」に関する調査を実施した株式会社テクノルは、セキュリティ製品の製造販売やセキュリティサービスの提供を行っています。
■クラウド時代のデータ保護【MR-ClientBackup】
MR-ClientBackupは、CarboniteEndpointを利用したバックアップサービスです。
・詳細はこちら:https://www.mrb-security.jp/lineup/mr-cb_mr-nb
✓定額かつ容量無制限でクライアントのデータをクラウドへ安全にバックアップ
・ユーザーは、クライアントにエージェントをインストールするだけでクラウドに自動的にバックアップ
・管理者がクラウドの管理コンソールで集中管理が可能
✓保持と復元・回復
・インターネットに接続されていればどこでもバックアップが可能
・通信、保管データは暗号化されているので安心
・容量無制限、個々のファイルについては5世代のバックアップを保持
・データ損失、ランサムウェアによる攻撃からも迅速に復旧が可能
★サポートOS
・Windows7以降
・Mac OS 10.12以降
■株式会社テクノル:https://www.technol.co.jp/
■お問い合わせTEL:0178-47-8311(代)
■お問い合わせURL:https://www.mrb-security.jp/contact
調査概要:「中小企業のセキュリティ状況」に関する調査
【調査期間】2022年8月10日(水)~2022年8月11日(木)
【調査方法】インターネット調査
【調査人数】1,013人
【調査対象】従業員数300人以下の中小企業の情報システム部門の方(元も含む)
【モニター提供元】ゼネラルリサーチ
イメージ図
