予算も人材も足りない

「非IT企業」に属す一般の企業は、情報セキュリティ対策や技術に精通した人材を豊富に擁しているわけではなく、情報セキュリティ対策に投じられる資金にも制約がある。こうした制約は、組織の規模が小さくなればなるほど厳しさを増し、中小の企業では、情報セキュリティ専任の担当者が社内に一人も存在せず、総務の担当者が他業務と兼務でITと情報セキュリティを一手に担っている場合もある。

一方で、企業を取り巻く情報セキュリティ上の脅威は、多様化・高度化の一途をたどり、中堅・中小の企業の多くが自社の情報セキュリティ対策に不安を抱えているようだ。例えば、IT調査会社の株式会社アイ・ティ・アール（以下、ITR）が2018年2月にリリースしたホワイトペーパー『ITR White Paper：中堅・中小企業が実現すべきIT環境～投資対効果の高いセキュリティ対策とは～』（https://www.itr.co.jp/library/whitepaper/C18020102-pdf.html）によれば、中堅・中小企業の半数近くが、自社の情報セキュリティ（ITセキュリティ）対策に対して「不十分」「やや不十分」と答えたという（図1）。

図1：現在実施しているITセキュリティ対策への評価

（出典：ITR 2017年12月調査／『ITR White Paper：中堅・中小企業が実現すべきIT環境～投資対効果の高いセキュリティ対策とは～』／有効回答数1,060件）

そして、「不十分」「やや不十分」と答えた回答者の多くが、情報セキュリティ対策を巡る課題として、「予算がない」（回答者の37.4％）、「（情報）セキュリティへの経営層の理解が少ない」（同36.8％）、「（情報）セキュリティに詳しい人材がいない」（同33.3％）といった問題点を挙げている（図2）。

図2：IT（情報）セキュリティ対策が「やや不十分」「不十分」である理由（TOP5）

（出典：ITR 2017年12月調査／『ITR White Paper：中堅・中小企業が実現すべきIT環境～投資対効果の高いセキュリティ対策とは～』／有効回答数511件：複数回答）