Embed Size (px)
Citation preview
SOHO事業者における
情報セキュリティ対策の調査研究
報 告 書
平成 17 年 3月
禁無断転載複写
FMMCFoundation for MultiMedia Communications
財団法人 マルチメディア振興センター
はじめに
パソコンの普及や情報通信技術の進展は、私たちを取り巻く社会や経済環境に急速な
変革をもたらし、今までとは大きく異なった新しいビジネスやライフスタイルを生み出
しています。また、ワークスタイルという観点では、インターネットの普及により、オ
フィスの場所や就業時間に縛られる従来のスタイルから、働く場所や時間にとらわれな
いワークスタイルが実現されつつあります。
ネットワーク環境の整備と共に、働き方の自由化も進んだことで、近年、SOHO
(Small Office Home Office)というワークスタイルが注目を集めています。SOHO
事業者の中には、企業を退職し独自にもつ専門知識やスキルを生かした事業を興す人や、
結婚、出産などの理由から会社を退職した女性が特定の業務を在宅の形で個人事業とし
て始めることも多く、わが国の経済の発展、また労働機会の創出という点でも、社会に
おけるSOHOの役割はますます大きくなると考えます。
このような状況の中、インターネットを介し、SOHO事業者と企業、また、SOH
O事業者と一般消費者の方との間における商取引が増加している現在、情報セキュリテ
ィの課題はますます大きなものとなっています。特に本年 4月から施行される個人情報
保護法の影響もあり、情報セキュリティ対策への認識は社会全体で高まりを見せていま
す。そうした中、一般消費者の方、そしてSOHO事業者への業務の発注者である企業
がSOHO事業者に対し、これまで以上の情報セキュリティ対策を求めるようになると
いう傾向がますます強くなることが予想されます。本調査研究は、SOHO事業者にお
ける情報セキュリティ対策の現状の明確化を行い、情報セキュリティ環境を実現させる
ために取組むべき対策の試案をまとめたものです。本報告書がSOHO事業者と企業ま
たSOHO事業者と一般消費者の方との間の安心・安全な商取引を実現化させる施策を
実施する際の参考となれば幸いです。
平成17年3月
財団法人マルチメディア振興センター
理事長 白井 太
目 次
はじめに
第1章 調査研究実施概要
1.調査研究の背景--------------------------------------------------------------1
2.調査研究の目的--------------------------------------------------------------1
3.調査研究テーマ--------------------------------------------------------------2
4.調査研究方法----------------------------------------------------------------2
第2章 文献調査から考察する「SOHOにおける情報セキュリティ」
1.『情報セキュリティ』の定義---------------------------------------------------3
(1)機密性(Confidentiality) ---------------------------------------------3
(2)完全性(Integrity)---------------------------------------------------3
(3)可用性(Availability) ------------------------------------------------3
2.『SOHO事業者』の定義-----------------------------------------------------4
3.「e-Japan戦略重点計画」におけるSOHO -------------------------------4
4.SOHO事業者で発生し得るセキュリティ事故の例 ------------------------------5
5.SOHO事業者における資格・検定--------------------------------------------6
6.情報セキュリティに関する情報について----------------------------------------8
第3章 SOHO事業者向け情報セキュリティ対策の方向性
1.研究会総括------------------------------------------------------------------9
2.SOHO事業者の情報セキュリティにおける問題点の整理 -----------------------10
3.情報セキュリティ対策上視野に入れるべき項目・技術について -------------------12
(1)定期的データバックアップの実施---------------------------------------14
(2)定期的な OS、アプリケーションソフトウェアの更新-----------------------14
(3)ウィルス対策ソフトの導入と定期的な更新 -------------------------------14
(4)パスワード設定-------------------------------------------------------16
(5)必要最低限の入退管理の徹底-------------------------------------------16
(6)ISP のSOHOマーケット向けサービスの活用----------------------------16
(7)その他---------------------------------------------------------------18
4.SOHO事業者における情報セキュリティ対策の強化に向けた各機関の役割 -------18
(1)政府に求める主な役割-------------------------------------------------19
(2)SOHO関連団体に求める主な役割 -------------------------------------19
(3)民間企業に求める主な役割---------------------------------------------19
5.対策モデルの試案-----------------------------------------------------------20
(1)SOHO事業者向けセキュリティ認定制度の設立 -------------------------20
(2)SOHO事業者向け情報セキュリティ対策ラーニングツールの作成 ---------21
(3)SOHO事業者向け情報セキュリティ対策診断ツールの作成 ---------------22
(4)SOHO事業者向け情報セキュリティポータルサイトの構築 ---------------23
6.統括-----------------------------------------------------------------------25
第4章 SOHO事業者の情報セキュリティ対策の現状及び課題
1.Web アンケート調査 ---------------------------------------------------------26
(1)調査概要-------------------------------------------------------------26
(2)回答者プロフィール---------------------------------------------------26
(3)Web アンケート結果総括 -----------------------------------------------30
(4)Web アンケート結果考察 -----------------------------------------------30
①ネットワークセキュリティに対する認識 ------------------------------30
②ネットワークセキュリティ対策への問題意識 --------------------------31
③セキュリティ対策の現状について ------------------------------------32
④対策を行う上での問題点と要望 --------------------------------------33
2.グループインタビュー調査---------------------------------------------------35
(1)調査概要-------------------------------------------------------------35
(2)グループインタビュー総括---------------------------------------------35
(3)グループインタビュー考察---------------------------------------------36
①1グループ[コンサルティング(主に大企業と)系SOHO事業者] ----36
②2グループ[SOHO団体及びSOHOエージェンシー] --------------37
③3グループ[システム開発系SOHO事業者] ------------------------37
3.SOHO事業者の情報セキュリティ対策の課題 ---------------------------------38
第5章 各調査結果
1.Web アンケート結果 ---------------------------------------------------------39
(1)ネットワークセキュリティに対する認識---------------------------------39
①ネットワークセキュリティに対する意識 ------------------------------39
(2)セキュリティ対策への問題意識-----------------------------------------41
①情報入手ルート----------------------------------------------------41
②トラブル発生の有無 ------------------------------------------------41
③発生トラブルの種類 ------------------------------------------------42
④トラブル時の相談者 ------------------------------------------------42
⑤トラブル発生時の責任所在 ------------------------------------------43
⑥セキュリティ管理者の有無 ------------------------------------------43
⑦機密事項取扱ルールの有無 ------------------------------------------44
⑧暗号化実施の有無--------------------------------------------------44
⑨サーバー運用方法--------------------------------------------------45
(3)セキュリティ対策の現状について---------------------------------------46
①対策の有無 --------------------------------------------------------46
②(内部からの)情報漏洩の可能性 ------------------------------------46
③ウィルス防止への対策 ----------------------------------------------46
④PC管理対策 ------------------------------------------------------48
⑤情報セキュリティ教育の有無 ----------------------------------------49
⑥セキュリティポリシーについて --------------------------------------51
⑦個人情報保護法について --------------------------------------------52
⑧ネットワークセキュリティへの年間費用 ------------------------------53
⑨顧客からの反応 ----------------------------------------------------54
(4)対策を行う上での問題点と要望 ----------------------------------------54
①対策を行う上での問題点 --------------------------------------------54
②国へ望むこと ------------------------------------------------------55
2.グループインタビュー内容---------------------------------------------------57
(1)1グループ(コンサルティング系SOHO事業者) -----------------------57
(2)2グループ(SOHO団体、SOHOエージェンシー) -------------------64
(3)3グループ(システム開発系SOHO事業者) ---------------------------68
3.研究会議事内容-------------------------------------------------------------74
(1)目的-----------------------------------------------------------------74
(2)委員構成-------------------------------------------------------------74
(3)開催概要-------------------------------------------------------------74
(4)事務局---------------------------------------------------------------74
(5)議事内容-------------------------------------------------------------75
①第1回議事録 ------------------------------------------------------75
②第2回議事録 ------------------------------------------------------83
③第3回議事録 ------------------------------------------------------91
④第4回議事録 ------------------------------------------------------96
参考資料①『SOHO向け情報セキュリティ対策 支援について』 -------------------101
参考資料②『SOHO向け情報セキュリティ Web サイトコンテンツ案』--------------103
参考資料③『SOHO向け情報セキュリティ基本テストについて』 ------------------105
参考資料④『SOHO向け情報セキュリティガイドライン作成にあたって』 ----------107
参考資料⑤『Web アンケート全質問項目』 ----------------------------------------109
[参考文献]--------------------------------------------------------------------123
-1-
第1章 調査研究実施概要
1.調査研究の背景
パソコンの普及や情報通信技術の急速な発展に伴い、電子メールや World Wide Web(www)
に代表されるインターネット技術は規模の大小を問わず、企業のビジネスを推進するため
に欠かせないものとなっている。また、それと同時にコンピュータウィルスや不正アクセ
スをはじめとするインターネット上の脅威が、企業が直面する問題としてますます深刻な
ものになっている。さらに、企業間の取引に際して不特定多数の個人に関する重要な情報
を多く取り扱うことが急増している現状を鑑みると、安全・安心なネットワーク社会を発
展・構築していく上でインターネット環境下での情報セキュリティの確保は非常に重要な
課題となっている。
昨今の労働・就業形態の多様化によって、SOHO(ソーホー・Small Office Home Office
の略称)とよばれる小規模事業者が増加し、様々なビジネス分野においてインターネット技
術を活用した商取引を行っている。商取引の中には ECサイト(電子商店)の運営など不特
定多数の個人を対象としたものや、データ入力作業代行等の企業からの下請け業務の受託
などにより、多数の顧客情報などを取り扱う事例も増加してきている。
このような現状下で、一般消費者、業務の発注者、そしてSOHO事業者自身が今後、
安全・安心な環境下でネットワークを利用できるようなネットワーク社会を構築していく
ために、SOHO事業者における情報セキュリティ上の課題を克服することが、必要不可
欠かつ緊急の課題であると考えられる。
しかしながら、SOHO事業者におけるコンピュータウィルス対策、個人情報保護対策・
不正侵入対策などの情報セキュリティ対策の現状、またSOHO事業者を取り囲む情報セ
キュリティへ対策の課題等については未だ十分な把握ができていないのが実情である。
2.調査研究の目的
新しいワークスタイルの一つとして広く認知されるようになったSOHO事業者は、
労働形態の多様化の流れに従い、今後ますますその数が増加し、今まで以上に様々な事業
分野において重要な存在になるものと推測される。情報通信技術が発達しその中で活躍す
る多くのSOHO事業者にとって、ネットワークの活用は業務の遂行において必要不可欠
であり、また事業の可能性を大きく広げるものである。今後の社会において、一般消費者、
SOHO事業者への業務発注者、そしてSOHO事業者自身が安心して商取引を行うため、
情報セキュリティ環境を実現させることが必要であり、本調査研究の結果がその実現化に
寄与することができるよう、SOHO事業者を巡る情報セキュリティ対策の現状把握や、
課題検討を行った。
-2-
3.調査研究テーマ
(1) SOHO事業者の情報セキュリティ対策の現状及び課題
(ア) SOHO事業者における情報セキュリティの現状
(イ) SOHO事業者における情報セキュリティ対策上の課題の抽出
(2) SOHO事業者における今後の情報セキュリティ対策の方向性
(ア) SOHO事業者の情報セキュリティ対策についての課題解決策
(イ) SOHO事業者における情報セキュリティ対策において今後必要な技術
(ウ) SOHO事業者に対する情報セキュリティ対策モデルの検討
4.調査研究方法
SOHO事業者における情報セキュリティの現状と課題を把握するため、SOHO事業
者を対象とした定量調査(アンケート調査)と定性調査(グループインタビュー)を実施。
定量調査では、インターネットを通じて回答を収集する Web アンケート手法を採用した。
さらに、本アンケート結果の実証性を高める目的で、業務内容によって3つのグループに
分類されたのSOHO事業者、SOHO関連団体の代表者にグループインタビューを実施
した。
これら 2 つの調査で把握した内容をもとに「SOHO事業者における今後の情報セキュ
リティ対策の方向性」について研究会を開催。SOHO事業者における情報セキュリティ
の課題解決策・今後必要な技術・対策モデルについて討議検討した。
尚、本調査研究においては、情報セキュリティの中でも特にネットワークセキュリティ
の観点を意図した。
-3-
第 2章 文献調査から考察する「SOHOにおける情報セキュリティ」
1.『情報セキュリティ』の定義
情報セキュリティの定義については、OECD(経済協力開発機構)が 1992 年に理事会
勧告として発行した「情報システムのセキュリティのガイドライン」において「組織に
おける情報および情報システムを、機密性、完全性、可用性の欠如の脅威から保護する
こと」とされ、本定義は、世界各国の情報セキュリティに関する各種の基準やガイドラ
インに影響を与えており、BS7799、ISO/IEC17799 でも上記3つの要素を含んだ定義が採
用されている。
(1) 機密性(Confidentiality)
認可された者だけが情報にアクセスできる環境を意味する。具体的な手法として、ID
やパスワードの設定により組織外の者が組織内の情報へアクセスを不可能な環境を創出す
ること、また、機密情報については、たとえ組織内の者であっても限定された者のみがア
クセス可能な環境を創出することが挙げられる。
(2) 完全性(Integrity) 情報や情報の処理方法が、正確かつ完全であることを意味する。具体例として、不正ア
クセスによるウェブサイトの改ざんや情報システムへの無断侵入等を防ぐ目的で、適切な
保護を行い、定められた手順で対策を取ることにより完全性は確保される。
(3) 可用性(Availability)
許可された者が、必要な時に情報や情報資産にアクセスできる状況の確保を意味する。
具体例として、ウィルス感染や自然災害によるシステムダウンなどで情報へのアクセスが
不可能になるといったことを防ぐことで可用性は確保される。 上記3つの頭文字をとり、セキュリティの世界では“CIA”と呼ばれている。
平成 17 年 3 月現在において『情報セキュリティ』という用語を書籍名に含む書籍は 200 冊
を超え(情報セキュリティアドミニストレータ資格に関する書籍を含む)、その用語につい
てはSOHO事業者、また一般消費者においても広く認知されていると推測される。しか
しながら、その定義については、『情報セキュリティ』という用語自体と同等の認知を得て
いるとは言いがたく、書籍によっては「情報セキュリティは、組織においてさまざま脅威
から情報資産を守ることを目的としてします。」とのみの説明に止めるものもある。本調査
研究で実施したSOHO事業者によるグループインタビュー、また研究会においても、S
-4-
OHO事業者における“情報”の具体例の提示とすべてのSOHO事業者にとってわかり
やすい“情報セキュリティ”の定義を望む声が多く聞かれた。
2.『SOHO事業者』の定義
“Small Office Home Office”の頭文字をとってできた“SOHO(ソーホー)”という名前
は新しいワークスタイルとして 90 年代半ばから一般的に認知されるようになった。財団法
人日本SOHO協会のウェブサイトによると、SOHOの定義とは「IT(情報通信技術)
を活用して事業活動を行っている従業員10名以下程度の規模の事業者のこと。主にクリ
エイター、フリーランサー、ベンチャー、有資格者、在宅ワーク等が対象」であり、1500万人以上がSOHOというワークスタイルで事業を行っているとされている。
SOHOの社会的認知が高まるとともに、SOHO事業者を支援することを目的とした
支援団体も全国各地で設立され、また、SOHO事業者と業務を発注するクライアント側
との間にたち、受注発注の取りまとめ役や橋渡し役ともいうべき役割を担う仲介事業者(S
OHOエージェンシー)もSOHOの発展に欠かせない存在となっている。 上記の観点から、本調査においても、SOHO事業者のみならずSOHO支援団体、SO
HOエージェントそれぞれの立場における「情報セキュリティ対策」の見解を把握するこ
とを留意した。 3.「e-Japan戦略重点計画」におけるSOHO
IT 革命の進展、特にインターネットの急速な普及が近年のSOHO事業者の増加の大き
な要因の一つであることは推測に難くない。2001年 1 月に政府が発表した「e-Ja
pan戦略」は、5年以内に日本が世界最先端のIT国家となることを目指した計画であ
り、本戦略ではインターネットの利用が重要な柱となっていた。また、2004年6月に
発表された「e-Japan重点計画-2004」内には、情報情報通信を活用したテレ
ワーク・SOHO 支援方策の検討として以下のような記述がされている。
『テレワーク・SOHO を推進するため、テレワーク・SOHO の就労環境等の実態を
把握するとともに、SOHO 等の会社設立運営、仕事の受発注・事業提携及びテレワーカ
ーの人材育成等に対する情報通信を活用した支援方策等に関する調査研究を行い、併せて
シンポジウム等の開催によりその成果の周知・広報活動を 2006 年度まで実施する。』
さらに、 SOHOコーディネーターの育成支援として、『クライアントとSOHO、また
はSOHO同士を結びつけて横型ネットワーク組織(バーチャルカンパニー)を形成する
コーディネーターとなりうる高度専門人材の育成支援を行う。2004 年度中に、クライアン
トとSOHO をつなぐマッチングノウハウのほか、労働法、不正競争防止法等の法的知識、
ヒューマンリソースマネジメント知識、マーケティング知識、IT知識等、必要とされる
スキル基準の策定や、これらを習得するためのカリキュラム・教材開発等を行い、その成
果をインターネット等を活用して広く公開・提供する。』と記述されている。
-5-
また、「e-Japan 重点計画-2004」では主な具体的施策として以下の 5 項目が挙げられ、
情報セキュリティ対策に関する項目も含まれている。
1.世界最高水準の高度情報通信ネットワークの形成
2.人材の育成並びに教育及び学習の振興
3.電子商取引等の促進
4.行政の情報化及び公共分野における情報通信技術の活用の推進
5.高度情報通信ネットワークの安全性及び信頼性の確保
以上のことからも、政府が、情報通信を活用することによるSOHOの推進、また情報
セキュリティ環境を実現化することで、SOHOにおける商取引を活性化させることを課
題として認識していることが推察できる。
また、本調査研究で実施したSOHO事業者へのグループインタビューにおいても、「情
報セキュリティ対策に関する啓蒙活動や助成などに関してさらなる大きな役割を政府に期
待する」という声が多く聞かれた。
4.SOHO事業者で発生し得るセキュリティ事故の例
SOHO事業者が情報セキュリティ対策に関して学習する際において、情報セキュリティ
事故の実例を参照することは効果的であると考えられる。実際に情報セキュリティに関す
る文献の多くではセキュリティ事故の実例が紹介されてはいるが、比較的規模が大きい企
業における実例が多い傾向にあり、少人数、もしくは個人で事業を営むSOHO事業者に
起こりうるセキュリティ事故の実例はほんとどないというのが現状である。
SOHO事業者で発生し得るキュリティ事故例1:裏紙からの情報漏洩
コールセンターのX社では、コスト削減のために社内の印刷物はできるだけ裏紙を利
用していました。テレフォンアポインターのAさんは、お客様に資料をFAX送信して
欲しいと依頼され、頼信紙をつけて送りました。
しばらくして、FAXを送ったお客様からクレームの電話がかかってきました。「お
たくの顧客管理は一体どうなっているんだ。他の顧客情報がFAXされてきているぞ。」
と怒鳴られてしまいました。Aさんが送ったFAXを再確認したところ、FAX頼信紙
の裏に、別の顧客情報が記載されており、裏面をFAX送信してしまったようです。
クレームの電話をしてきたお客様からFAX裏面に記載されていたお客様に連絡が
いき、X社は2人のお客様から提訴されてしまいました。
(出典:岸田明『よくわかる事例で学ぶ情報セキュリティ』、FOM 出版、2004)
-6-
SOHO事業者で発生し得る事故例2:外部委託契約による情報漏洩
家電メーカーのX社は、新規顧客開拓を目的として、自社製品が当たる懸賞を企画し、
顧客情報の収集を行うことにしました。
Web ページでのアンケートから情報収集することになり、システムの設計・運用・管
理をY社に発注しました。この企画は大成功し、X社は新規に2万5千人の顧客リスト
を作成できました。
数日後、X社には、「懸賞に応募してから、X社とは関係ないダイレクトメールが頻
繁にくるようになった」という問い合わせが相次ぎました。X社で調査をしたところ、
システム開発を請け負ったY社では、その顧客リストを利用しているということ、また
そのリストを名簿会社に販売したということがわかりました。X社ではY社に対して損
害賠償などを検討しましたが、X社とY社の契約内容に、収集したデータの取り扱いな
どの項目はなく、結果的にX社の管理体制の甘さだけが浮き彫りになった形になりまし
た。また、この件が公になったことで、X社の株価の下落や、「個人情報が流出するよ
うなセキュリティ意識の低い会社」と認識されるようになるなど、様々な影響がでるよ
うになってしまいました。
(出典:岸田明『よくわかる事例で学ぶ情報セキュリティ』、FOM 出版、2004)
本調査で実施した研究会において、「多くのSOHO事業者は、新聞等で時折取り上げられ
る情報セキュリティ事故のニュースなどを目にしても、自分とはあまり関係がないことと
捉える傾向があるが、たとえSOHO事業者であってもセキュリティ事故の内容によって
は損害賠償を求められるケースもあり得るということを認識する必要があるのではない
か」という意見が出された。また、その意見を踏まえ、「SOHO協会等が中心になり、S
OHO事業者がこれまで実際に起こしたセキュリティ事故例、また起こり得る想定事故例
をまとめた『SOHO事業者における情報セキュリティ事故例集』をハンドブックのよう
な形で作成して欲しい」という要望も聞かれた。 5.SOHO事業者における資格・検定
2005 年 4 月に個人情報保護法が全面施行され、社会全般において個人情報保護や情報セキ
ュリティ対策への認識が高まる中、「プライバシーマーク制度」や「ISMS 適合性評価制度」
が注目を集めている。
プライバシーマークの付与機関である日本情報処理開発協会のウェブサイトによると、プ
ライバシーマーク制度の目的は「個人情報の保護に関する個人の意識の向上を図ること、
-7-
民間事業者の個人情報の取扱いに関する適切性の判断の指標を個人に与えること、民間事
業者に対して 個人情報保護措置(コンプライアンス・プログラム、以下「C/P」という。) へ
のインセンティブを与えること」であり、プライバシーマーク付与認定事業者も平成 10年
の開始からその数が増え続け、平成 16年 11 月には 1000 社を越した。
図 2-3 プライバシーマーク年度別の認定の推移
(出展:http://technofer.co.jp/FAQ/FAQpriv.html)
また、財団法人企業経営通信学院が2005年3月27日に在宅ワーカー検定を開始した。
検定内容には「PC の知識」や「個人情報保護法」といった情報セキュリティに関する項目
も含まれている。(表2-1を参照) 本調査のグループインタビューにおいても、社会全体における個人情報保護に対する認識
が高まる中、業務を発注する側の企業が、SOHO事業者における情報セキュリティー対
策をこれまで以上に強く求めるようになったという事例が報告された。しかしながら、現
行の「プライバシーマーク制度」や「ISMS 適合性評価制度」は資格所得にかかる費用面や
難易度の面から、一般的なSOHO事業者には取得が困難なのではないかという意見が参
加者から多く聞かれ、SOHO事業者の事業規模や事業内容に適した新たな資格制度の設
立を求める意見もあった。
-8-
表2-1[在宅ワーカー検定内容3級例]
章(科目) 項目 備考
1.SOHOの歴史 I.在宅ワークの種類
科目免除対象
認定校が実施する認定講座を修了
した場合、本試験で本章が免除さ
れます。
2.在宅ワークの心構え
I.在宅ワークのルール
II.自己管理編
III.電話編
3.在宅ワークを始める
には
I.履歴書の書き方
II.設備環境編
III.報告
IV.報告円滑に仕事を行うため
の手段
V.仕事で扱う書類の種類
4.PC の知識
I.メール編
II.緊急対応編
III.スキル編
5.個人情報保護法
I.個人情報保護法の基礎事項
II.個人情報を取り扱う上での留
意点
(出展:財団法人企業経営通信学院 http://zaitakuworker.jp/contents.html)
6.情報セキュリティに関する情報について
「情報セキュリティ」に関する書籍は数多く出版されており、各書籍が対象とする読
者やその対象も一般家庭から大企業まで幅広い。各書籍とも想定する読者層に対し情報
セキュリティに関する理解度を深めるという観点から作成したものが多いが、情報セキ
ュリティ対策の必要性について強く言及している内容のものは少ない。また、対象とし
ては比較的規模が大きい企業を対象にしたものがほとんどであり、SOHO事業者が情
報セキュリティの重要性を強く実感することができる現実的かつ体感的な情報の整備が
今後必要であると思われる。
-9-
第3章 SOHO事業者向け情報セキュリティ対策の方向性
1.研究会総括
第 1回目の研究会では、Web アンケート結果に基づき、SOHO事業者における情報セキ
ュリティ対策の現状把握から考察を行った。SOHO事業者における情報セキュリティへ
の認識の薄さ、危機感のなさが浮き彫りになると同時に、各SOHO事業者の事業内容等
によっても状況に差異があることが判明した。情報セキュリティとは「情報を守ること」
であるが、具体的な対策方法が明確になっていないため、1つの方向性としてSOHO事
業者向けのガイドラインや全体へ浸透していくための教育の必要性が謳われた。
第2回では、グループインタビュー結果と前回の Web アンケート結果より、問題解決策
をまとめていく上での方向性の議論を行った。情報セキュリティ対策の必要性をSOHO
事業者に対してどのように啓蒙し、どのような仕組みで浸透させていくべきかについても
言及し、実感として受け止めてもらうには、被害実態が公になり、付加価値や担保となる
ものを整理することも大事であると議論された。その上で、対策を立てていくための観点
として「発生頻度と想定被害の大きさからの視点」「企業防衛と投資の視点」の2つが上が
った。 第3回は、課題解決策から今後必要な技術について検討した。技術については外部から
の攻撃、侵入と内部からの漏洩という観点でSOHO事業に有効と思われる主だった情報
セキュリティ対策技術を整理した。また、技術からは外れるがそれ以外の視点として、ネ
ットワーク以外の人的側面(情報物流における人が介する場面や人が関わる場面)につい
ても議論がされた。 対策のあり方については以下の5つに整理された。
①SOHO向け情報セキュリティについての公的権威のある定義の明確化 ②対策についての公的ガイドラインの設定 ③上記に基づく情報セキュリティの重要性、必要性についての啓蒙、動機付け ④上記に基づく情報セキュリティ教育の仕組みづくり、浸透 ⑤SOHO事業者が情報セキュリティ対策を講じる場合の支援環境、制度、機関の整備
第4回では、これまで3回にわたって行ってきた議論を整理し、対策モデルの検討を
行い以下2つに整理された。
① SOHO事業者向けセキュリティガイドライン普及のための資格認定・教育、対策支
援制度 ② Web によるSOHO事業者向け簡易情報セキュリティ診断及び動機付けサービスの構
築(SOHO事業者向け情報セキュリティ対策のためのポータルサイトでのネットワ
ーク構築)
-10-
2.SOHO事業者の情報セキュリティにおける問題点の整理
研究会が事前に実施した各調査結果(第4章以下参照)から明確にされたSOHO事
業者の情報セキュリティにおける問題点は、以下のとおりである。 ① 情報セキュリティリスクへの危機感・認識・理解が不足している
② セキュリティ対策に対し、コストを顧客へ転化できないなどの理由で金銭的
余裕がない
③ ITビジネスにおける相互連関性の中でどこがどのように対策を講じるべき
かといった公的指針がない
④ 被害の実情がはっきりしていないため、その影響の大きさを金銭的感覚で共
有できていない
⑤ 最終的には人のモラルや意識の問題に到達する
2005年 4 月より施行される「個人情報保護法」の影響により、SOHO事業者を
取巻くビジネス環境において急激に「個人情報」の取り扱い及び対策方法への関心が高
まっており、「情報セキュリティ」と「個人情報漏洩」を結び付けて考える傾向が強い。
この傾向は、ビジネス利害に直結するという意味合いからも理解できる点であるが、本
調査研究のテーマに包含されているウイルスやスパムメール対策といったネットワーク
セキュリティに対するSOHO事業者の関心は総じて低いことが明らかになった。この
傾向はSOHO事業者における被害の実態が現状では把握できていないことや、SOH
O事業者自身の危機感が薄いといったことに起因していると思われる。また、情報セキ
ュリティに関する定義が統一されておらず、SOHO事業者における具体的な対策を明
確にしたガイドラインが存在していないことも大きな原因であると考えられる。 情報セキュリティ対策に対するSOHO事業者が抱える問題としては、セキュリティ
対策コストを顧客に転化しにくく、対策費用を捻出できないということがまずあげられ
る。元来SOHO事業者へ仕事を発注する顧客側の背景としては、業務のアウトソーシ
ングによる社内コストの削減や労働集約的業務の見直しがあるといわれている。それゆ
えに、少しでも安価でSOHO事業者を活用したいというのが発注者側の思惑であると
推測され、そこにSOHO事業者が情報セキュリティ対策コストを捻出する難しさがあ
る。このような点を考慮すると、ビジネス全体における相互の関連性から、情報セキュ
リティに関わりのある企業群(売り手と買い手の両方)のどこが、どのような責任を果
たしコスト負担すべきかという議論が必要となる。しかし、何よりも重要なことは、ま
ずはSOHO事業者自身が情報セキュリティ対策の重要性を認識し、その影響(被害)
について認識するということではないかということが、今回の調査研究で明確になった。
-11-
SOHO事業者の情報セキュリティ対策の考え方としては、以下の 2 つの観点が今回
議論されている。
① 発生頻度と想定被害の大きさからの視点 ② 企業防衛と投資の視点
まず、発生頻度と想定被害の大きさという視点であるが、これは、図8に示されるよ
うに発生頻度が高く、想定被害の大きい領域に対してSOHO事業者自身が重点的に対
策を講じ、それ以外は、ISP業者(インターネットサービスプロバイダー)などの外部に
委ねるという考え方である。また、SOHO事業者の場合、対策を講じるにも金銭的な
制約やIT技術に関する専門性の面からも限界があるため、SOHO事業者自身が取る
べき対策については政府がガイドラインを提示し、最低限求められる具体的な対策方法
を明確にする必要があると考えられる。
[図 3-1]発生頻度と想定被害の大きさからの視点
発生頻度
高
損害額 大小
低
SOHO自身が対策(ガイドラインの必要性)
対策を外部に依存(ISP等)
発生頻度
高
損害額 大小
低
SOHO自身が対策(ガイドラインの必要性)
対策を外部に依存(ISP等)
もう一方の視点は、企業防衛とビジネス維持拡大という面からの投資という視点であ
る。企業防衛的な観点からいえば、情報セキュリティ対策は、SOHO事業者のパソコ
ンやIT機器などのIT資産や情報資源を守るということになる。少人数で事業を営ん
でいるSOHO事業者の場合、1 台のパソコンで全ての情報管理を行っていることもまれ
ではない。こうした場合、ウイルスや外部の侵入などによって被害を受けた場合それが
-12-
企業の存立の危機になるケースも予想される。 また、投資的観点から考察すると、業務の発注側である企業が、発注先のSOHO事
業者を選別する際の基準として、「情報セキュリティ対策をどこまで講じているか」が重
要な観点となってきている業界もあり、この動向は今後様々な業界に波及していくこと
が予想される。現状では、「情報セキュリティ対策にかける費用は効果が見えにくいため、
積極的にお金をかけることができない」と考えるSOHO事業者が多いが、多くの業界
において、“情報セキュリティへの対策度合い”が業務を発注するSOHO事業者の選択
基準として重要視されることになった場合、情報セキュリティ対策は、顧客の信頼を獲
得し、事業を拡大するために必要不可欠となり、この点から言えば情報セキュリティ対
策はまさに投資といっても過言ではない。しかしながら、SOHO事業者の多くが限ら
れた経営資源の中で事業を行っており、情報セキュリティ対策の費用に対する国や地方
自治体の助成金を求める声も多くあることがアンケート、グループインタビューの結果
から明らかになっている。 こうした 2 つの観点からSOHO事業者における情報セキュリティにおける問題点を
整理すると以下のようになる。
防衛的観点 ・ウィルスやスパムメールなどからのIT環境の防衛が不十分
・個人情報の管理がずさん
・ネットワークマナーが不徹底
・セキュリティリスクへの理解や危機感の不足
投資的観点・発生頻度と被害の実態の判断軸の中での投資のガイドライン がない
・投資支援環境が整備されていない 3.情報セキュリティ対策上視野に入れるべき項目・技術について
SOHO事業者における情報セキュリティ対策上必要な技術に関しては、様々な要因
が考えられるが、情報セキュリティ面からみたリスクの視点から考察すると、そのリス
ク要因は内部要因と外部要因の2つに大きく分類することができる。一般的には、多数
の従業員を抱える大規模企業は、外より内からの要因によって被害を受けることが多く、
SOHO事業者に代表されるような従業員が少ない小規模企業は、外部要因によっての
被害が多いと認識されている。
-13-
〔図 3-2〕リスクにおける外的要因と内的要因
組 織
・システム ・ネットワーク
・ハードウェア ・ソフトウェア
・データ ・ノウハウ等
情報資産
内在する要因・ソフトウェアの脆弱性・セキュリティ機能の欠如・セキュリティモラルの欠如等
弱点(脅威)
外部からの要因・ウィルス・侵入・サービス妨害等
脅威
リスクの要因
独立行政法人情報処理推進機構『情報セキュリティ読本』より
しかしながら、SOHO事業者がこれらのリスクを防ぐために必要な具体的な情報
セキュリティ対策の項目、技術についてはこれまで明確化されていないという状況があ
り、総務省や警察庁等、情報セキュリティに関する政府機関、もしくはSOHO協会等
のSOHO関連団体によるSOHO事業者に特化した明確なガイドラインの作成・提示
を求める意見が、グループインタビューの参加者、また研究会から出された。 同じ“SOHO”というワークスタイルで事業を行っていても、その事業内容や事業
規模は各SOHO事業者によって異なり、必要とされる情報セキュリティ対策の項目や
技術も異なるため、SOHOという枠組みだけでは統一されたガイドラインを作成する
ことは困難であると想像されるが、本研究会ではSOHO事業者が事業を行う上で最低
限検討すべき情報セキュリティ対策の項目と技術とはどのようなものであるかの議論を
行い、試案を作成した。 〔図 3-3〕SOHO事業者が最低限検討すべき情報セキュリティ対策の項目と技術(案)
データバックアップ
ウィルス対策
ソフトウェアの更新
パスワード設定
入退管理 ISPサービスの活用
-14-
(1)定期的データバックアップの実施
使用しているパソコンが壊れてしまうことで、データを損失するというリスクに
備え一定時点におけるシステムファイルやデータファイルを別な場所や記憶媒体
(CD-R・MO・DVD-R・外付けのハードディスク等)にコピーして保管す
ること。バックアップの対象とするファイルの明確化と自身が決めた頻度において
定期的にバックアップを実施することが重要である。
(2)定期的な OS,アプリケーションソフトウェアの更新
Windows に代表される OS や、WEBブラウザやメーラー等のアプリケーションソ
フトでは、情報セキュリテイ上の問題を解決したり、様々な不具合を解消したりす
るための修正プログラムが、メーカーから提供されている。インターネットに接続
された環境でコンピュータを利用する場合には、これらの修正プログラムを定期的
に適用し、出来る限りソフトウェアを最新の状態に保つように心がけることが求め
られる。
〔図 3-4〕:WindowsXP のセキュリティソフトウェア自動更新設定画〕
(3)ウィルス対策ソフトの導入と定期的な更新
ウィルスに感染しないようにすることは、情報セキュリティ対策として最も重要
な項目のひとつであり、PC の破壊、データの損失等による経済的損失を防ぐだけ
ではなく、自身が感染したことにより、クライアント等の第三者に本調査で実施
したアンケートの結果では、ウィルス防止に対して何からの対策を既に取ってい
るSOHO事業者は全回答者 200 名中の 133 名と全体の 66.5%であり(表3-1参
照)、そのうち PC にアンチウィルスソフトを導入している事業者は 121 名と 91%
-15-
を占めた。(表3-2参照)。
〔表3-1:ウィルスへの対策状況〕
(質問内容: 「御社ではウィルス被害を防止するための対策をしていますか」:n=200)
回答数 回答比率
1.既に対応済み 133 66.5%
2.現在対応を進めている最中 28 14.0%
3.対応の必要性は感じているが、現在は何もしていない 27 13.5%
4.対応の必要性は感じず、今後対応する予定もない 3 1.5%
5.分からない 9 4.5%
〔表3-2:ウィルス被害への対策方法〕
(質問内容: 「ウィルス被害への対策とは具体的にどのような内容ですか」:n=133)
回答数 回答比率
1.PCにアンチウィルスソフトを導入 121 91.0%
2.ウィルス定義ファイルの自動更新 94 70.7%
3.セキュリティパッチの更新 63 47.4%
4.利用しているサーバー(プロバイダー)のウィルスチェ
ックサービスを利用 51 38.3%
5.添付ファイルを不用意に開かないように社内で徹底して
いる 70 52.6%
6.フリーソフトのインストールを制限 19 14.3%
7.インターネットからダウンロード禁止 3 2.3%
8.ファイアーウォール用ハード・ソフトの導入 58 43.6%
9.その他 2 1.5%
アンケートの結果からはウィルス対策を導入しているSOHO事業者の割合は比
較的高いことが伺える。しかしながら、研究会において、「ウィルス対策ソフトを
導入した場合、新しいウイルスに対応するために、常にウィルス検知用データを最
新のものに更新しておく必要があるが、SOHO事業者がどこまで更新を徹底でき
ているかは疑問である」という意見も出され、ウィルス対策ソフトメーカーだけで
-16-
はなく、SOHOエージェンシーやSOHO関連団体からも、ウィルス対策ソフト
導入の有効性やウィルス検地用データの更新の必要性をSOHO事業者に対して
訴求していくことが重要であると考えられる。
(4)パスワード設定
SOHO事業者におけるパソコンの利用環境においては、1台のパソコンを複数の
従業員で利用し業務を行うケースや、他の家族が私用目的で利用するパソコンを
業務にも利用するといったケースが多く見られる。つまり、自身以外の第三者が
特定の情報資産(個人情報や企業ノウハウ等のデータ)にアクセスできてしまう
リスクが高い傾向にあり、この点からパソコンのログオンや、サーバーの管理用
サイトのアクセスに対するパスワードの設定は必要不可欠であると考えられる。
(5)必要最低限の入退管理の徹底
規模が大きい企業においては、ビル自体やサーバールーム等の入退室を暗証番号
や非接触ICカードシステム等によって管理する環境が整っているケースが多い
が、自宅や小規模のオフィスで業務を行うSOHO事業者にとってはパソコンや
サーバーを設置しているエリアへの入退を管理することは比較的困難であると推
測される。しかしながら、記述のパスワード設定と同様、不特定多数の者が情報
資産にアクセスできる環境では情報セキュリティが守られているとは言い難い。
入退管理に対して大きな投資をかけにくいSOHO事業者においては、第三者が
入場できるエリアの制限や、特定のエリアに第三者が入退する際には、氏名と入
退時刻の記録を徹底するなど、最低限の入退管理が必須であると考えられる。
また、入退管理に関連し、複数のパソコンがネットワークで接続されている場合
には、重要なファイルを特定のユーザーのみが利用可能とする規制をする等の対策
をとることで、権限のないユーザーによる機密ファイルの閲覧や削除を防御するこ
とが可能になる。
(6)ISP のSOHOマーケット向けサービスの活用
ISP(Internet Service Provider)とは、電話回線や ISDN 回線、データ
通信専用回線などを通じて、顧客である企業や家庭のコンピューターをイン
ターネットへ接続することを主な業務とする通信事業者のことである。
社団法人日本インターネットプロバイダー協会によると、現在国内には大小併せ
て 1000 社程度のプロバイダーが存在しており、昨今のインターネットセキュリテ
ィの認知が高まりと共に、各プロバイダーが各種セキュリティ対策サービスの提供
を開始している。(図 3-5 参照)
-17-
〔図 3-5:ISPによるセキュリティ関連サービス例〕
メールウィルスチェックサービス
スパムメール防御サービス
セキュリティ対策ファイル自動更新サービス
不正侵入防御サービス
有害サイトブロックサービス
パソコンウィルススキャンサービス
その他
*ISP複数社を調査
また、SOHO事業者の増加に伴うSOHOマーケット拡大化により、近年、多
くの ISP 業者が「SOHOマーケット向けサービス」の提供を開始し、電話による
サポートサービスや自社のウェブサイトにおいてSOHO向けの各種情報を掲載
するなど、SOHOマーケットへの取組みを強化する傾向が見られる。(図 3-6 参照)
本研究会においても、SOHO事業者個人では限界があるセキュリティ対策をある
程度 ISP のサービスに依存することは有効な手段であり、そのことがSOHO事業
者を取りまとめるSOHOエージェンシー、また業務の発注者にとっての安心感に
つながるのではないのかという意見が出された。同時に、グループインタビューに
おいては、ISP が「SOHO向けサービス」を提供していることを認知していない
SOHO事業者も多く、今後、各ISPにSOHOマーケットに向けた更なる普及
活動を期待するだけではなく、各SOHOエージェンシーが情報セキュリティ対策
を含めた「SOHOマーケット向けサービス」に優れた ISP を自社の会員であるS
OHO事業者に推奨するということも有効なのではないかという意見が出された。
〔図 3-6〕:ISP のSOHO向けサービス例(ニフティ株式会社)
(出所:http://www.nifty.com/biz/smile/index.htm?sohofrom=toku_security2004_net2)
-18-
(7)その他
これまで述べてきた(1)から(6)の項目に対し、従業員の意識向上などを行う
非技術的対策も必要であり、多角的な視点から情報セキュリティに対する認識度を
浸透させることが重要である。具体的には、書類の取り扱い方法(シュレッダー処
理・鍵付きストレージ管理・持ち出しルール等)、FAXの送信番号ミス防止等が挙
げられる。
グループインタビューに参加した複数のSOHO事業者から、「多くのSOHO事業者
は、情報セキュリティ対策に関する専門的な知識を持っておらず、頼ることができる
専門家も周囲にいない環境で事業を営んでいるのではないか」という意見が出された。
また、同様に「情報セキュリティ対策の重要性は理解しているが、多くの費用をかけ
ることはできず、SOHO事業者としてどのような対策にどの程度費用をかければ必
要最低限のセキュリティ環境を維持することができるか明らかにして欲しい」という
意見も多く聞かれ、SOHO事業者に特化した情報セキュリティ対策のガイドライン
の作成や、具体的な対策方法に関する啓蒙活動が必要と考察される。 4.SOHO事業者における情報セキュリティ対策の強化に向けた各機関の役割
今後、企業における選択と集中、ビジネス・プロセスの再構築が進展し、これま
で以上に様々な業務が外部にアウトソーシングされる傾向が進めば、その受け皿とし
てのSOHO事業者の役割はますます大きくなると推測される。このような状況の中
で、SOHO事業者における情報セキュリティ対策は政府、民間企業、SOHO関連
団体が一体となり可及的速やかに取り組むべき課題と言える。本研究会では政府、民
間企業、SOHO関連団体のそれぞれに求める役割について議論がなされた。
〔図 3-7〕SOHOにおける情報セキュリティ対策向上に向けた各機関の役割
SOHO関連団体・ 情報セキュリティ対策の啓蒙・教育・ SOHOにおける情報セキュリティ認定制度の開発・運営
・ その他
SOHO関連団体・ 情報セキュリティ対策の啓蒙・教育・ SOHOにおける情報セキュリティ認定制度の開発・運営
・ その他
民間企業・ SOHOマーケット向けセキュリティサービスの開発・ SOHOマーケットへのセキュリティ関連情報提供
・ その他
民間企業・ SOHOマーケット向けセキュリティサービスの開発・ SOHOマーケットへのセキュリティ関連情報提供
・ その他
政府・ SOHO向け情報セキュリティ公的ガイドラインの作成・ SOHO向け情報セキュリティ関連補助金・助成金の整備・ その他
政府・ SOHO向け情報セキュリティ公的ガイドラインの作成・ SOHO向け情報セキュリティ関連補助金・助成金の整備・ その他
-19-
(1)政府に求める主な役割 本調査において実施したグループインタビューでは、「そもそも、SOHOにおけ
る情報セキュリティの定義が明確化されていないのではないか」という意見がSOH
O事業者から多く聞かれた。また、現状ではSOHO事業者、またSOHO事業者を
取りまとめるSOHOエージェンシー等が情報セキュリティ対策を講じる際の指針、
つまりSOHOにおける情報セキュリティ対策に関する公的ガイドラインがなく、政
府がSOHO事業者の実情に適した公的ガイドラインを作成することを望む意見が
研究会で出された。政府によるSOHO事業者向けの公的ガイドラインの作成は、S
OHO事業者に対してセキュリティ対策を促し、末端のSOHO事業者までセキュリ
ティ対策を浸透させる上で有効であると考えられる。 同時にまた、SOHO事業者が情報セキュリティ対策を講じる上で、助成金等や相
談窓口の設立といった助成制度の整備も政府の重要な役割として挙げられる。
(2)SOHO関連団体に求める主な役割 アンケート調査、またグループインタビューの結果からSOHO事業者においては、
情報セキュリティの重要性や必要性の認識がいまだに希薄であることが明確になっ
た。このような状況を改善するための啓蒙活動や教育制度の確立・運用、また公的ガ
イドラインの浸透を意図した資格制度の確立・運用は、日本SOHO協会をはじめ、
全国各地に存在するSOHO関連団体、またSOHOエージェンシーの役割として求
められる。また、現状ではSOHO事業者を対象とした情報セキュリティー対策に関
する情報量がそもそもまだ少ないという実態があるが、今後は、SOHO事業者にお
ける情報セキュリティ情報を包括的に取りまとめたウェブサイトの開設、または定期
的なニュースレターの発行などをSOHO関連団体に求める声もあった。 (3)民間企業に求める主な役割
SOHO事業者の拡大化に伴い、今後も様々な分野の民間企業がSOHOマーケッ
トを対象とした商品、新サービスを提供していくと推測される。前述したようにIS
P(インターネットサービスプロバイダー)やソフトウェアメーカーの一部は、SO
HOマーケットをターゲットとした商品、サービスの提供を既に開始している。今後、
SOHOマーケットにおいて情報セキュリティ対策へのニーズが今以上に高まった
場合、対策を実現化するためのツールやサービスを提供する民間企業の担う役割は大
きい。これらの民間企業にとってはSOHO事業者の実情を踏まえた上での商品・サ
ービスの開発が重要になり、また、一般的に情報セキュリティ対策に関する知識に乏
しいSOHO事業者への情報提供も民間企業に求める役割の一つである。
-20-
5.対策モデルの試案
SOHOにおける情報セキュリティ対策を巡る環境の向上を図るため、今回の調査研
究では、次の4つが対策モデルとして検討された。
SOHO事業者向け情報セキュリティ認定制度の設立
SOHO事業者向け情報セキュリティ対策ラーニングツールの作成
SOHO事業者向け情報セキュリティ診断ツールの作成
SOHO事業者向け情報セキュリティポータルサイトの構築
(1)SOHO事業者向けセキュリティ認定制度の設立
社会全体における共通の課題として認識されるようになった個人情報保護対策の
浸透において、財団法人日本情報処理開発協会による「プライバシーマーク制度」
が果たしている役割は大きい。プライバシーマークを取得した民間事業者は個人情
報を適切に取扱っているという信頼感を取引先に提供でき、未取得企業との差別化
要因にもつながっていると考えられる。 しかしながら、SOHO事業者における情報セキュリティ対策という課題におい
ては、現時点では公的な評価・認定制度は存在しておらず、情報セキュリティへの
対策は各SOHO事業者の判断に委ねられているのが現状である。 SOHO事業者の情報セキュリティに関する公的な認定制度の設立は、SOHO
事業者に対して情報セキュリティ対策を考えるきっかけを与え、認定を受けたSO
HO事業者は情報セキュリティ対策に対して“公的なお墨付き”を受けたことで、
他のSOHO事業者との差別化を図ることが可能になる。また、業務を発注する企
業側も認定を受けているSOHO事業者を発注先として選択する傾向が強まり、ひ
いてはSOHO全体の信頼の向上につながるものと考えられる。 「SOHO事業者向け情報セキュリティ認定制度」の運営方法としては、SOH
Oを傘下に抱えている企業、団体、組合などにSOHOワーカーや事業者向けのセ
キュリティ資格認定を与える権限を委ね、その組織を通してSOHO事業者向けに
設定したセキュリティガイドラインの徹底と啓蒙・教育を促すという試案が出され
た。 具体的には、しかるべき行政機関によってSOHO向けの情報セキュリティガイド
ラインを設定した後、それに基づいた簡易資格認定を行う団体を募集し、資格認定
-21-
のための一定の教育を受講し、試験に合格した団体に、傘下のSOHO事業向けの
情報セキュリティセミナーの開催や資格認定制度の運用及びそれに付随する事業を
認める。そして、情報セキュリティガイドライン教育に必要な教材や講師育成の場、
ネットワーク情報サービスを行政が提供する。認定団体は、その資格によって、S
OHO向けの情報セキュリティ資格認定事業を行い、セミナー開催や付随するテキ
スト、テンプレートなどの販売、情報セキュリティ設定支援サービスなどによって
収入を得る、というものである。 〔図 3-8〕:SOHO事業者向け情報セキュリティ認定の運用(試案)
会員 会員 会員 会員 会員
広報・WEB版セキュリティ体験・セキュリティ自己診断
販売・テンプレート集・QA集・セキュリティ対策支援サービス
資格認定・SOHO向け資格認定
教育・セミナー等開催
Aネットワーク
Bネットワーク
Cネットワーク
Dネットワーク
Eネットワーク
セキュリティ教育普及認定団体
(仮)SOHO向けセキュリティ認証機構
(2)SOHO事業者向け情報セキュリティ対策ラーニングツールの作成 情報セキュリティ対策に関する書籍やテキストは、現時点でも多く存在しているが、
規模が大きい企業を対象にしたものが比較的多く、SOHO事業者の特徴、事業内
容等を踏まえ、SOHO事業者向けに作成された書籍やテキストはほとんど見られ
ない。このような状況を鑑みた際、SOHO事業者向け情報セキュリティ対策ラー
ニングツールの作成は非常に意味があると考えられる。 また、SOHO事業者向け情報セキュリティ対策ラーニングツールの作成において
は、情報セキュリティ対策についての基礎知識が少ない現在のSOHO事業者の状
況を考慮し、「わかりやすく、具体的な対策を取ることができる内容」にすることが
重要である。また、学習効果の観点から、ツールはテキストブックのようなものだ
けではなく、動画を活用したEラーニングツールも有効であると考えられる。作成
されたツールはSOHO協会などのSOHO関連団体のウェブサイト等に公開し、
-22-
SOHOエージェンシーは各SOHO事業者に活用を促すことで普及を促進させる
ことが可能となる。 〔図 3-9〕:ラーニングツールで取り上げるべき内容(試案)
SOHO事業者における情報セキュリティの定義と基本概念
SOHO事業者において起こりうる情報セキュリティ事故
SOHO事業者における情報セキュリティ対策の必要性
SOHO事業者が最低限取るべき情報セキュリティ対策の方法 ① データバックアップ(バックアップ方法等) ② ウィルスへの対策(ウィルス対策ソフトの導入方法等) ③ ソフトウェアの更新(自動更新の設定方法等) ④ パスワード設定(パスワードの設定方法等) ⑤ 入退管理(小規模オフィスでも可能な管理方法等) ⑥ セキュリティポリシーの作成(どのようなリスクに備えるか) ⑦ ISPのサービス活用(どのようなサービスがあるか) ⑧ その他
(3)SOHO事業者向け情報セキュリティ対策診断ツールの作成 本モデルは、各SOHO事業者が上記のラーニングツールで情報セキュリティ対策
に関して学習を行った後に、内容の理解度と自社の情報セキュリティ対策の状況を
把握するために、SOHO事業者向け情報セキュリティ対策診断ツールを作成する
というものである。利用するSOHO事業者は自身の理解と対策の実情のレベルを
把握することができ、また、SOHO事業者を取りまとめるSOHOエージェンシ
ーも、会員であるSOHO事業者の情報セキュリティ対策の状況を把握することが
でき、必要に応じた業務改善要求を行うことも可能となる。
〔図 3-10〕:SOHO事業者向け情報セキュリティ対策診断ツールイメージ(試案)
Q01:コンピューターウイルスに感染したのがわかったら、まずしなくてはいけないことは?
〇警察へ電話をする
〇感染したパソコンをネットワークから外す
〇大事なデータをFDやMO、CD-Rなどにコピーする
〇パソコンを分解してハードディスクを取り出す
Q10:データをバックアップするのに良い方法は次のうちどの方法ですか?
〇毎日パソコンのすべてのデータを外部のハードディスクに保存する
〇毎日外部のメディアに更新したファイルをコピーする
〇毎日更新したファイルをプリントアウトしておく
〇毎日同じパソコンのバックアップ用フォルダに更新したファイルをコピーしておく
問題は全部で30問あります。前ページ、次ページを押して全問回答したら、終了ボタンを押してください
終了次ページ前ページ
開始時刻:xx:xx終了まであと ○○分です
情報セキュリティ基本テスト画面例
・・・
-23-
(4)SOHO事業者向け情報セキュリティポータルサイトの構築 SOHO事業者に対して情報セキュリティ対策に関する啓蒙活動を行うにあたって
は、SOHOにおける情報セキュリティ対策に関する情報が網羅された、「SOHO
事業者向け情報セキュリティポータルサイト」構築が有効であると考えられる。サ
イトの運営はSOHO協会のようなSOHO関連団体が行い、SOHOに特化した
情報セキュリティ対策に関する基礎情報(図 3-12 参照)や、セキュリティ対策例集、
各社が提供しているSOHO向け商品・サービスの紹介等がコンテンツとして考え
られ、SOHO事業者向け情報セキュリティ対策ラーニングツールや診断ツールへ
のアクセスも本サイトから可能にする。また、本サイトの認知度を高めるために、
各政府機関の情報セキュリティ関連サイト(情報処理推進機構セキュリティーセン
ター、総務省・国民のための情報セキュリティサイト、警察庁@police 等)にリンク
を依頼すると同時に、全国各地に存在するSOHO関連団体、SOHOエージェン
シーにもその普及を依頼する。 〔図 3-11〕:SOHO向け情報セキュリティ対策ポータルサイトコンテンツ案
SOHO向け情報セキュリティEラーニング
情報セキュリティ対策自己診断ツール
最新ウィルス情報
SOHO向け情報セキュリティ
情報セキュリティQ&Aコーナー
SOHO向け情報セキュリティガイドライン
情報セキュリティ関連セミナー案内
SOHOにおける情報セキュリティ
SOHOにおける情報セキュリティ
補助金・助成金情報
SOHO向け情報セキュリティ対策
ポータルサイト
コンテンツ(案)
-24-
〔図 3-12〕:SOHO向け情報セキュリティポータルサイトコンテンツ案(チェックリスト)
No 対策内容 chkA. 対策しなくてはいけない項目 01 パソコンにセキュリティ対策ソフトを導入し、ウイルスパターンファイル
を常時更新している 詳細へ □
02 パソコンのソフトのアップデートを常時監視し行なっている 詳細へ □
03 ファイアウォールやルータを設置し、適切に設定している 詳細へ □
04 OS を起動するにはパスワードの入力が必要な設定になっている 詳細へ □
05 重要な情報はまとめて管理してあり、必要な人しか見られない環境を整え
ている 詳細へ □
06 パスワードは他の人に推測されにくいものに設定し、定期的に更新してい
る 詳細へ □
07 第三者が許可無く社内に入れない環境を整えている 詳細へ □
08 重要な情報を扱う人に対しては、非開示契約を締結している 詳細へ □
09 従業員に対して、情報セキュリティの教育を実施している 詳細へ □
10 重要な情報を社外に送ったり、持ち出すときは、その情報を暗号化してい
る 詳細へ □
11 パソコンを破棄するときは、HD の内容を復旧できないように削除してい
る 詳細へ □
12 このガイドライン等を利用し、情報セキュリティの管理を定期的に見直し
している 詳細へ □
B. 対策した方が良い項目 01 重要な情報は適切にバックアップをしている 詳細へ □
02 重要な情報にアクセスするとログが残るように設定されている 詳細へ □
03 情報セキュリティに関する取り決めは文書化して管理・教育されている
詳細へ □
04 セキュリティ事故が発生したときの対処手順が事前にまとめられている 詳細へ
□
05 セキュリティ管理者を任命し、業務としてセキュリティの管理に努めさせ
ている 詳細へ □
-25-
6.総括
全国に広がるSOHO事業者の数は IT 技術の発展と共に今後益々増え続けていき、新し
いワークスタイルとしてさらに定着していくものと予想される。 しかしながら、本調査の結果から、SOHO事業者における情報セキュリティに対する意
識は現状では総じて低く、SOHO事業者に情報セキュリティ対策を促すための公的ガイ
ドライン作成の必要性があることが明らかになった。その上で、本調査の研究において試
案として出された、SOHO事業者向けセキュリティ認定制度の設立、SOHO事業者向
け学習ツールやSOHO向け情報セキュリティに関する情報をとりまとめたポータルサイ
トの作成等の具体的な行動によって、SOHOにおける情報セキュリティ対策の環境を改
善することが、来たるべきユビキタス社会において、SOHO事業者が益々活躍できるよ
うな状況を作り出すことにつながると考えられる。そのためには、SOHO事業者自身、
政府関連機関、SOHO関連団体、民間事業者が共通のビジョンを持った上で連携を持ち、
各自に求められる役割を果たしていくことが重要となる。 なお、SOHOにおける情報セキュリティ対策の現状、課題の把握、また今後の施策等
については今後も継続的に議論を続けていく必要があり、SOHO事業者、情報セキュリ
ティ関連政府機関、SOHO関連団体、SOHOマーケットに対して商品・サービスを提
供する民間企業等の代表者で構成される研究会組織を立ち上げ、SOHO事業者の実情を
考慮した対策の現実化が重要であると考えられる。〔図 3-13 参照〕
〔図 3-13〕:SOHOにおける情報セキュリティ対策研究会参加メンバー案
SOHO関連団体-日本SOHO協会-全国SOHO支援団体 等
SOHO関連団体-日本SOHO協会-全国SOHO支援団体 等
情報セキュリティ関連政府機関-総務省-警察庁 等
情報セキュリティ関連政府機関-総務省-警察庁 等
SOHOエージェンシーSOHOエージェンシー
SOHO事業者SOHO事業者
民間企業-SOHO向け商品・サービス提供企業-セキュリティソフトウェアメーカ、ISP 等
民間企業-SOHO向け商品・サービス提供企業-セキュリティソフトウェアメーカ、ISP 等
有識者-情報セキュリティ関連有識者-弁護士 等
有識者-情報セキュリティ関連有識者-弁護士 等
SOHOにおける情報セキュリティ対策研究会(仮称)
参加メンバー〔案)
-26-
第4章 SOHO事業者の情報セキュリティ対策の現状及び課題
1.Web アンケート調査
(1)調査概要
■ 調査対象:従業員10名(正社員以外含む)以下のあるいは個人事業主として働き、
業務上ネットワーク環境のあるパソコンを使用する
■ 調査人数:200名
■ 調査期間:2005年 1月 25日~1月 26 日
(2)回答者プロフィール
■ 業種
「販売・代理店」から「Web 製作・デジタルコンテンツ制作」を中心に、幅広く様々
な業種からの回答を得ている
回答数 回答比率
1 販売・代理店 29 14.50%
2 建設・環境・インテリア・設計 24 12.00%
3 教育・医療・福祉・健康・NPO 18 9.00%
4 システム開発・プログラミング 17 8.50%
5 ショップ・流通・貿易 16 8.00%
6 Web制作・デジタルコンテンツ制作 13 6.50%
7 デザイン・写真・イラスト 9 4.50%
8 音楽・アート・芸能関係 9 4.50%
9 経営・総務・法律・人事・福利厚生 9 4.50%
10 金融・会計・税務・保険 7 3.50%
11 技術開発・製造加工 6 3.00%
12 コンサルティング 4 2.00%
13 出版・編集・作家・ライター 2 1.00%
14 マーケティング・調査・企画 2 1.00%
15 旅行・アミューズメント 2 1.00%
16 インターネットサービス 1 0.50%
17 CG・ゲーム・ソフト開発 1 0.50%
18 放送・映像・演劇 0 0.00%
19 広告・広報 0 0.00%
20 その他 31 15.50%
その他:サービス/学習塾/社団法人/電気工事/飲食業/印刷/食品製造販売/
土地家屋調査士/飲食店/旅館業/アパート経営/繊維製品製造販売/
不動産/部屋貸しおよびPC操作の指導・相談/サイト運営/サービス/
食料品製造/翻訳業/事務代行/アニメーション仕上げ、仕上げ検査/
道路測量/美容/飲食店
(n=200)
-27-
■ 従業員数
1 人だけより、複数で事業を進めているSOHOが約8割を占め、「2~4人」とい
う回答が 42.5%と最も高かった。
従業員数
2~4人
42.50%
5~10
人
36.50%
個人(あ
なた自
身のみ)
21.00%
■ パソコンやネットワークに関する社内環境
パソコン保有台数について、従業員数と比較すると、職場に1台は完備されているが、
1人1台には満たない環境である。
また、ネットワーク環境については保有パソコンのほとんどがネットワークと繋がって
いる環境にあり、使用回線は「ADSL」が6割以上を占めた。
パソコン保有台数
3台
28.50%
4台
10.50%
5台
以上
27.00% 2台
34.00%
(n=200)
(n=200) (n=200)
(n=200)
ネット接続パソコン台数
3台
25.50%
4台
6.50%
2台
45.00%
5台
以上
23.00%
ネット回線
17.50%
0.50%1.00%0.50%
2.50% 3.50%
61.50%
13.00%
電話(アナログ)回線によるダイ
アルアップ
ISDN回線によるダイアルアッ
プ
ISDN回線による常時接続(フ
レッツ・ISDN)
ADSL回線
CATV(ケーブルテレビ)回線
光ファイバー回線
分からない
その他
-28-
■ パソコンやネットワークへの決定権
回答者の7割以上が、パソコンやネットワーク環境への決定権をもっているSOHO
事業者であった。
パソコンやネットワークへの決定権
0.50%
12.50%
12.50%
74.50%
PCネットワーク環境につい
ての決定権がある
PCネットワーク環境につい
ては自身が担当している
が、
決定権はない
PCネットワーク環境につい
ての担当ではないし決定
権もない
その他
■ 年収
回答者の年収は、「100 万円以上~500 万円未満」が半数、次いで「500 万円以上~1000
万円未満」が3割を占めた。
年収
5000万円
以上
0.00%
100万円
未満
9.50%
1000万円
以上~
5000万円
未満
8.00%
100万円
以上~
500万円
未満
51.00%
500万円
以上~
1000万円
未満
31.50%
-29-
■ 社歴
社歴は「1 年以上~5 年未満」が 31%と最も多かったが、「20 年以上」も 15%が回答し
ていた。
社歴
10年
以上~2
0年未満
22.50% 5年以上
~10年
未満
26.00%
1年以上
~5年
未満
31.00%
1年未満
5.50%20年
以上
15.00%
■ 性別
約 7割が男性、約 3割が女性であった。
女性28.50%
男性71.50%
回答数 回答比率
男性 143 71.50%
女性 57 28.50%
■ 年齢
年齢は 30歳~50 歳以下にばらついており、中でも「35 歳以上~39歳以下」は 21.5%
と最も高かった。
年齢 回答数 回答比率
1 19歳以下 0 0.0%
2 20歳以上~24歳以下 0 0.0%
3 25歳以上~29歳以下 13 6.5%
4 30歳以上~34歳以下 34 17.0%
5 35歳以上~39歳以下 43 21.5%
6 40歳以上~44歳以下 38 19.0%
7 45歳以上~49歳以下 34 17.0%
8 50歳以上~54歳以下 23 11.5%
9 55歳以上~59歳以下 12 6.0%
10 60歳以上 3 1.5%
143
57
(n=200)
(n=200)
-30-
(3)Web アンケート結果総括
個人情報保護に関する法律の施行が近いこともあり、「情報漏洩」への不安は感じてい
るものの、取引のある顧客からセキュリティ環境への要求を受けていないこと、事業規
模が小さく直面する事態に至っていないことなどから、情報セキュリティに対する認識
はまだ薄く、脅威や危機感についての認識は強く感じられなかった。 しかし、問題意識の高まりと共に、対策を講じていきたいと検討はしているものの、
費用・人・時間をかけにくいSOHO事業者が、どこまで何を行えば良いか判断がつか
ず、知識・情報不足であるという認識を持っていることが伺えた。また、SOHO事業
者の業種業態により、知識や対策へのレベル差があり、各事業形態にあわせた対策検討
の必要性があると考えられる。 国への要望としては、補助金などの費用負担よりは法整備や知識・情報の提供を求め
ているという結果になった。まず自分で理解し、価値判断をしてから行動へ移すSOH
O事業者の特徴を表しているように感じられた。だが、実際に大きなトラブルを経験し
ていないため、積極的に行動に出ていないというのが現状である。
(4)Web アンケート結果考察
①ネットワークセキュリティに対する認識
ネットワークセキュリティに対するイメージは実に様々であった。回答内容を分類す
ると表 4-1 のように大きく 6 種類に分けられる。「情報漏洩などから守ること」と考え
るSOHO事業者が 36%と多かったものの、「特になし」(29%)やノートン、ファイア
ーウォール、トレンドマイクロといった「ノートン等のソフト名」(10.0%)と回答した
ものが約 4 割を占め、SOHO事業者がネットワークセキュリティに対する脅威や危機
感を強く感じているとは捉えにくかった。
〔表 4-1〕ネットワークセキュリティに対するイメージ(n=200)
分類項目 分類数 比率
1.ノートン等のソフト名 20 10.0%
2.ウィルス(から防ぐ) 18 9.0%
3.情報漏洩などから守る 72 36.0%
4.安全確保 7 3.5%
5.特になし 58 29%
6.その他 25 12.5%
-31-
また、今後起きるかもしれないネットワークセキュリティに対する事故やトラブルへ
の不安には、約半数が「不安」を感じていた。
〔表4-2〕ネットワークセキュリティに対する事故などへの不安(n=200)
50.0
18.0
32.0
0 20 40 60 80 100
不安を感じる(100)
不安を感じない(36)
わからない(64)
不安と感じている具体的内容は表4-3のように大きく 6 種類に分類でき、「情報漏洩
や不正アクセス」に関する回答が一番多くあがっていた。この中には、情報漏洩などに
よる「顧客からの信用欠如や損害賠償請求」と考える少数派(4%)も含まれるが、SO
HO事業者が今後の仕事とネットワークセキュリティをどこまで結びつけて不安と感じ
ているかは、ネットワークセキュリティに対するイメージと同様、まだ強く脅威や危機
感を感じてはいないようである。
[表4-3]分析:具体的に不安なこと(n=100)
分類項目 分類数 比率
1.情報漏洩・不正アクセス 51 51%
2.わからないことが不安 7 7%
3.対策と被害のいたちごっこ 11 11%
4.ウィルス 12 12%
5.カード被害・迷惑メール 4 4%
6.その他 15 15%
②ネットワークセキュリティ対策への問題意識
実際にトラブルを経験したことのあるSOHO事業者の割合は約3割。残りの7割は
トラブル経験はなかった。発生したトラブルも「ウィルス・ワーム感染」が大半をしめ、
社内もしくは友人・知人への相談で解決できており、どこかの機関へ相談する必要はな
かったようである。今後、より悪質なトラブルが発生した場合の相談ルートは確保して
おいた方が良いと思われる。自社でサーバーを抱えるより、プロバイダーのみのSOH
(%)
-32-
O事業者が 67.5%の現在、プロバイダーの選定方法も対策方法の1つとなるかもしれな
い。 [表4-4]トラブル発生の有無(n=200)
8.0
23.0
69.0
0 20 40 60 80 100
分からない(16)
セキュリティに関する事故・トラブルが発生したことがある(46)
セキュリティに関する事故・トラブルが発生したことはない(138)
[表4-5]発生トラブルの種類(n=46)
2.2
0
4.3
4.3
4.3
13
97.8
0 20 40 60 80 100
その他(1)
内部者による不正アクセス(0)
パスワードの盗用(2)
故意・過失による情報漏えい(2)
ホームページの改ざん(2)
スパムメールの中継利用・踏み台(6)
ウィルス・ワーム感染(45)
トラブル発生が少ないとはいえ、ネットワークセキュリティに関する情報は、HPや
プロバイダーのニュースメールなどから入手しており、機密事項取扱いルールや、メー
ルの暗号化に対しても、現在は取り決めていないが今後検討予定とするSOHO事業者
の割合は多く、きっかけは不明だが、ネットワークセキュリティに関する問題意識は高
まっているようである。ただし、セキュリティ管理者の設置の有無に関する動きは半々
ぐらいで、意識の低さと見るよりも、問題意識は徐々に高まりつつあるものの、従業員
数等を考慮するとセキュリティを配慮した事業運営とするにはまだまだ壁があると言え
るようである。
③セキュリティ対策の現状について
既に何らかの対策をとっているSOHO事業者は 53%あり、「今後対策をとっていく予
定」と回答したSOHO事業者も含めると 9 割近くがセキュリティ対策を前向きに捉え
ていることがわかる。ただし、対策の内容はSOHO事業者によりばらつきがあり、基
(%)
(%)
-33-
本的なウィルス対策ですら、66.5%しか取り組んでいないのが現状である。また、対策を
講じない原因として、「費用」以上に「知識・ノウハウがないこと」や「必要性を感じな
い」が高い位置をしめていた。実施しているセキュリティ教育のテーマに「セキュリテ
ィ事故が発生した時の対処方法」や「データのバックアップ方法」などがあげられた。 セキュリティポリシーなどはSOHO事業者の現状から判断して必要性を感じないと
しており、むしろ、その前にやるべき身近な施策があると思っているようである。 対策への年間費用も 7 割弱が「5 万円未満」としており、費用への考え方はSOHO事
業者で様々あると思うが、問題意識の高まりとのギャップを感じさせる結果となってい
る。 業務を請負う際、顧客からセキュリティ環境について問われた経験をもっているSO
HO事業者は 2%しかいないため、対策をしなければと思いつつも知識やノウハウ不足な
どから先延ばしにしている現状も伺えた。 ④対策を行う上での問題点と要望
「費用がかかる」以上に「どこまでやればよいか、分からない」「知識・ノウハウがな
いこと」が上位をしめた。知識のなさに関連して「相談先がわからない」も少数ながら
回答があり、情報量の少ないSOHO事業者にとって相談先を明確にすることも今後の
対策上見逃せない課題の1つである。
SOHO事業者はレベルの違いこそあるがセキュリティへの対策は必要だと感じてい
る。しかし、何をどこまでやったらよいかの判断基準が明確でないため、費用をかけた
くないというよりも、どこまで費用をかけたらよいかわかっていないというのが実情と
いえる。
国へ求めることとしては、助成よりも、法制度の整備を強く望んでいた。セキュリテ
ィ対策を行う上でSOHO事業者は、どこまで何を行えばよいか理解したいと考えてお
り、そのために判断できるものを強く求めていることがわかった。
[表4-6]セキュリティ対策を行う上での問題点(n=200)
1.5
3.0
5.5
15.5
24.0
54.0
58.0
65.0
0 20 40 60 80 100
その他(3)
分からない(6)
問題点は特にない(11)
相談先が分からない(31)
従業員の意識の統一(48)
費用がかかること(108)
知識・ノウハウがないこと(116)
どこまでやればよいか、分からない(130)
(%)
-34-
[表4-7]国への要望(n=200)
1.0
9.0
19.5
21.0
33.5
40.5
42.0
60.0
0 20 40 60 80 100
その他(2)
社員教育への助成(18)
特にない(39)
情報セキュリティに関するセミナー等の実施(42)
機器・ソフト購入の助成(67)
情報セキュリティに関する情報提供(81)
セキュリティサービス利用の助成(84)
セキュリティトラブルを取り締まる法制度の整備(120)
(%)
-35-
2.グループインタビュー調査
(1)調査概要
■ 実施方法:SOHO事業者における情報セキュリティ対策の現状を、Web アンケー
ト結果も含め、インタビュー形式で調査を行った。各グループ3~4名
で3グループを構成し、各グループ2時間半インタビュー。
■ グループ分け:3グループ
① 1グループ=コンサルティング系SOHO事業者
② 2グループ=SOHO団体及びSOHOエージェンシー
③ 3グループ=システム開発系SOHO事業者
■ 実施日:2005年2月9~10日
■ 参加メンバー:
①1グループ=コンサルティング系SOHO事業者
※A:金融・通信・医療・不動産業界へのネットマーケティングのコンサルティ
ング及び Web 開発
※B:小売・カード・車業界へのマーケティングのコンサルティング
※C:海外よりITハードウェアやソフトウェアの独占契約
※D:企業の営業部隊へ業務改革などのコンサルティング
②2グループ=SOHO団体、SOHOエージェンシー
※E:テレマーケティング会社。全国主婦を在宅ネットワーク化し、アウトコール
※F:SOHOエージェント
※G:首都圏の在宅サービスの支援を行なうNPO
③3グループ=システム開発系SOHO事業者
※H:金融機関を中心にデータベースまわりの展開を行うプロダクトメーカー
※I:大企業を中心にマーケティングサービスやオリジナルソフト開発
※J:受託で Web システム(オラクルJAVAなど)の開発
※K:在宅主婦ワーカーを使ったデータエントリービジネス
(2)グループインタビュー総括
Web アンケートの対象者とは異なり、情報セキュリティへの認識は高かった。このこと
-36-
は Web アンケートがSOHO事業者を幅広く対象としたのに対して、グループインタビ
ューの対象者がITを活用したビジネスを主としていたことが影響していると考えられ
る。しかし、グループ毎に抱える問題は異なり、1と3グループ(コンサルティング及
びシステム開発系SOHO事業者)は仕事をする上で既に情報セキュリティをかなり意
識せざるを得ない状況にめぐり合わせており、2グループ(SOHOエージェント)は、
情報セキュリティに対する認識の薄い会員をどのように高めていくべきかに切実感があ
った。
また、Web アンケートの結果と同様に、対策として何をどこまで行ったら良いか明確で
ないため、ガイドラインを求めていた。しかも抽象的でわかりにくい内容ではなく、実
際に何をすればよいのかをイメージしやすいように、具体性があり、わかりやすい内容
が望まれていた。
Web アンケートの結果については、どのグループも大方このような現状であろうという
反応だった。アンケート対象となっているSOHO事業者にまで幅広く認識が高まり、
情報セキュリティ対策の重要性や必要性が浸透するには時間がかかるであろうというこ
とであった。
情報セキュリティ対策上の問題としては、各SOHO事業者の危機感を高め、取組み
への動機付けの重要性が指摘された。そのためには公的ガイドラインとSOHO事業者
を意識した資格制度などの検討、それを普及させていく仕組み作り、環境整備の重要性
が述べられた。
(3)グループインタビュー考察
①1 グループ[コンサルティング(主に大企業と)系SOHO事業者]
大企業におけるセキュリティ管理は、「どう監視をするか」という考え方であり、セキ
ュリティがしっかりしているというよりは権限分けがきちんと出来ているという表現が
正しいようである。
実際、顧客からセキュリティ管理に関する要望の有無については、広告代理店と仕事を
する際はプライバシーマークを持っていないと直接仕事が受けられない状況になってい
るとのことであった。インタビューを行ったSOHO事業者への仕事の影響はまだ大きく
出ていないようだが、顧客側からメールの送信方法を指定されたりと、仕事上、セキュリ
ティについて意識せざるを得ない状況にあった。Web 製作などのRFP(Request For
Proposalの略)にはセキュリティに関する項目はまだあがっていないとのことであった。
現状実施している対策としては、セキュリティポリシー策定やサーバー等へのウィルス
対策の徹底や個人情報は取扱わないように心掛けたりと手段や考え方は様々であったが、
情報の少なさや何をどこまでやったら大丈夫といえるのかがわからないところに不安を
感じていた。そのため、SOHO事業者への取り組みとして考えなければならない課題と
-37-
しては、まず何をどこまですれば良いかの定義、そして、そのための具体的なガイドライ
ンの設定ということが望まれていた。
Web アンケート結果に対しては、「だいたいこのような感じであろう」という反応であ
った。SOHO事業者までセキュリティ対策意識が浸透するにはまだまだ時間がかかるで
あろうという意見もあった。
国としてできることとしては①補助金②基本的スキルの教育③認定・資格制度やSOH
O向けプライバシーマークなどがあがり、今まではITインフラを作ることに精一杯で、
まだまだセキュリティへの意識が欠けており、今後は人をどのようにコントロールしてい
くか人のモラルも含めどう社会基盤にできるか、が大きな問題であると思うということで
あった。
②2グループ[SOHO団体及びSOHOエージェンシー]
このグループは1番切実な問題として情報セキュリティを捉え、知識不足に加え、時
間・人手不足や費用負担に頭を悩ませていた。保証も費用もない中で2グループのSO
HO事業者にとってプライバシーマーク取得は困難で、現状、顧客からセキュリティ面
への要望はないが、オープンになっている情報でも外注しないといっている企業がある
など、顧客が過敏になっている気配は感じているようであった。
対策としては、データのやり取りをIDとパスワード・暗号通信で行ったり、データ以
外のものは手提げ金庫で管理するなど工夫が施されているが、在宅の仕事を始めたいとい
った主に主婦層のセキュリティへの考え方は、個人レベルによるが、まだまだずさんで、
どのように必要性を伝えたらよいか考えあぐねているとのことであった。反面、どこまで
を個人情報というのか、どこまでをセキュリティというのかといった基準がわからないの
で、具体的に噛み砕いて説明された小冊子があると嬉しいとのことも指摘された。
Web アンケートの結果については、「感覚的にこういう状況だろう」という感想であっ
た。まだ切迫感はなく、「商売として考えた時に、事業そのものが存続できるのかどうか
ということを切実に感じていない気がしており、仕事が来なくなるのだということを末端
のSOHOワーカーに理解してもらいたい」とのことであった。
③3グループ[システム開発系SOHO事業者]
3グループはマーケティング関連の業務に携わる参加者がいたこともあり1グループ
以上に、プライバシーマーク取得の有無に関する広告業界の実状が仕事上の弊害となっ
ているようであり、同時に開発者として顧客などへセキュリティの何をどこまで教育す
ればよいかを判断しかねている様子でもあった。企業の過剰反応を懸念する声が多く、
それを防ぐためのガイドラインの必要性と、そのガイドライン等を浸透させる教育の重
要性が求められた。
-38-
その他、仕事をしている上で懸念している点は、
・ パソコンに詳しいだけでセキュリティ担当者となっている企業も多く、情報の偏り
や認識不足を感じる
・ 情報流出だけではなく、踏み台にされて、他に被害が発生し、損害賠償請求がくる
かもしれないということの認識をほとんどの人がもっていない
・ 電子媒体としてはガードをかけられたが、人間が行ったら終わり、防ぎようがない
ということがあり、先にでたガイドラインと教育以外の施策としては、
① ネットワーク技術者などがいないところに対し、その人のパソコン環境を定期的
にみまわってくれるようなサービス
② 資格制度(取得して終わりとはしないようなもの)
の必要性も提案された。
Web アンケートの結果については、SOHO事業者は情報を自らネットなどから取りに
いかねばならず、かつ人手も足りないというのが実情のため、情報の価値や情報資産の
棚卸しの教育が必要である。今回のアンケート結果に危機感がないという結果になった
のは、ビジネスにおいて顧客からセキュリティについての要望が厳しくない業態の人が
この調査対象として多かったからではないかという意見が出された。
3.SOHO事業者の情報セキュリティ対策の課題
Web アンケート及びグループインタビューより考察されたSOHO事業者の情報セキ
ュリティ対策に関する課題は以下のようにまとめられる。
1. 情報セキュリティの定義があいまい
2. 具体的に何をどこまで行えば良いかが不明確
3. SOHOという事業形態上、セキュリティ対策費用や時間や人手に余裕がない
4. SOHO事業の業種業界は様々なため、情報セキュリティへの認識レベルの差が
激しい(全般的にはまだ甘い)
5. IT及びセキュリティに関する知識・スキルや情報の不足
6. 被害状況の把握や共有が不十分なため、SOHO事業者全般的にリスクへの危機
感が薄い
7. (上記同様)プライバシーマーク等の資格取得が困難(人・費用・時間・保証)
8. 気軽に相談できる専門家がいない
上記3のSOHOに特有の要因が、4~8の課題をもらたしていると言える。しかし、
1と2の2つに関しては、SOHO事業者に限った課題ではなく、情報セキュリティ対
策全般を考える上での課題になっている点と言える。
-39-
第5章 各調査結果
1.Web アンケート結果
以下では、Web アンケートで得られた結果を、ネットワークセキュリティに対する認
識、セキュリティ対策への問題意識、セキュリティ対策の現状、および対策を行う上で
の問題点と要望、という4つの視点に分類した上で分析した結果を述べる。
尚、各視点ごとの分析結果の記載においては、関連するアンケート質問及び回答を掲
載しているため、実際のアンケートとは順番が異なっている。(Web アンケートの全質
問は参考資料⑤に記載)また、各アンケート結果を示している表での「(n=~)」は当該
質問への回答者数であり、表内の回答比率の分母となっている。
(1)ネットワークセキュリティに対する認識
① ネットワークセキュリティに対する意識
まず初めに、SOHO事業者が思い描くネットワークセキュリティと、不安感につ
いて聞いてみた。回答のあった中で多かったものは、個人情報保護についての話題が
増えてきたためか、「情報漏洩を防ぐ」に関する内容であったが、「特になし」も約3
割をしめた。また、「ファイアーウォール」「ノートン」のみといった回答もあり、S
OHO事業者により、レベルも中身も多様であった。
質問1:「ネットワークセキュリティ」とは、どのような内容のものを指すとお考えですか。「ネットワーク
セキュリティ」という言葉から思い浮かぶ内容をご自由にお書き下さい。(n=200、下記回答は一部抜粋)
1 トレンドマイクロ
2 シマンテック
3 ウィルスバスター等
4 ノートン
5 ファイヤーウオール
6 セキュリティソフト、アンチウィルスソフト、ファイヤーウォールソフト等。
7 ウィルスなどに対処すること
8 ウィルスやハッカーの侵入を防ぐ。
9 ハッキング・ウィルス等
10 外部との接続時にウィルスやハッキングによる被害を避ける。
11 インターネットや無線LANなどからの情報流出を防ぐ事、のような印象です。
12 個人情報・顧客情報の保護。機密性
13 個人情報の管理。情報送信のとき、SSL対応かなど
14 個人情報漏洩防御
15 情報等外部に流出しない・開示・変更・改変されない
16 情報漏えいを防ぐ事
17 情報漏洩、社会的信用
18 コンピュータネットワーク上での情報の漏洩阻止や不正アクセスの防止等
19 ネットワークにおける情報の漏洩防止、ウィルス等の排除
20 不正アクセスの防止や情報漏洩の阻止
-40-
その中、不安感については半数が「不安を感じる」としているが、「わからない」との
回答も3割強と大きな値を占め、SOHO事業者により「ネットワークセキュリティ」
への認識のバラツキがみられる。
質問 3:あなたは、御社で将来起き得るネットワークセキュリティ事故・トラブルについて、
不安を感じますか(n=200)
回答数 回答比率
1.不安を感じる 100 50.0%
2.不安を感じない 36 18.0%
3.わからない 64 32.0%
質問 4:質問2で「不安を感じる」とお答えの方にお伺いします 。それは具体的にどのような
ことですか。ご自由にお書き下さい(n=100、下記回答は一部抜粋)
1 データの改ざんや情報の持ち出し
2 ネットでパスワードが読み取られる。
3 会社に情報の漏洩。個人情報の漏洩
4 個人情報漏洩による賠償責任
5 情報の漏洩
6 不正アクセスによる情報漏洩
7 顧客の信用を失うこと
8 わからないのが不安
9 対策が万全なのかどうかわからない。既に、知らない間にスパイウェアに入ら
れているようだが、対処法がわからないし、現在のウイルス対策ソフトだけで は安心できない気がする。
10 漠然とした不安
11 いくらソフトを導入したところで追いかけっこだから。
12 これで完全ということはないし、人為的なことは極論すれば防ぎようがないと
13 システムも技術も常に日進月歩しているため。
14ウイルスやスパイウェアなどの攻撃に対してソフトウェアのレベルで本当に安全なのか
15 新種ウイルスやスパイウェアに対応しきれるか?ネットワーク上手の届かない
部位でのトラブルもある。
16 新種のウィルス
17 カード№を読み込まれたりでたらめな請求をされる
18 毎日複数の迷惑メールが届き、配信拒否してもきりがなく送られてくる
19
例えば、ウィルス対策ソフトを各PCにインストールしたとしても、それを利用するユーザーがアップデート、スキャンを行わなければ ただのプログラム
になってしまう。また、ユーザーの認識が低く 利用の際のID パスワードの入力をめんどくさがったり、パスワードを付箋に記入しているなど、まずは 危険認識の教育が大切ですが 業務に差し支えたり、不況の影響か業務にかかわる人数を減らしているため、とても教育の場を設けることが不可能となっている
20 PCが使えなくなる
21 システムが万全ではない
22 自分が対応出来る以上のスキルがいる時
-41-
(2)セキュリティ対策への問題意識
① 情報入手ルート
情報収集の手段として「ホームページ」が 37.0%と最も多く、次いで「プロバイダー
等からのニュースメール」33.0%で7割を占め、「友人・知人から」は 12.5%であった。
SOHO事業者の多くが日常的にインターネットやメールを利用していることが伺え
る。
質問 5:「ネットワークセキュリティ」に関して、最も多くの情報を入手する方法を1つだけお選び下さい(n=200)
回答数 回答比率
1.新聞・雑誌 13 6.5%
2.友人・知人から 25 12.5%
3.ホームページ 74 37.0%
4.プロバイダー等からのニュースメール 66 33.0%
5.テレビ 4 2.0%
6.「ネットワークセキュリティ」に関する情報入手はしていない 9 4.5%
7.その他 9 4.5%
その他:いずれの方法もほぼ同等である/家族から/日経BP社が発行するメールマガジン
② トラブル発生の有無
69.0%が「セキュリティに関する事故・トラブルが発生したことはない」と回答した
が、「セキュリティに関する事故・トラブルが発生したことがある」も 23.0%と全体の
約 1/4 であった。
質問 14:御社のPCネットワーク環境において、これまでに「セキュリティに関する事故・トラブル」が発生した
ことがありますか。(n=200)
回答数 回答比率
1.セキュリティに関する事故・トラブルが発生したことがある 46 23.0%
2.セキュリティに関する事故・トラブルが発生したことはない 138 69.0%
3.分からない 16 8.0%
-42-
③ 発生トラブルの種類
セキュリティ事故・トラブルの殆どが「ウィルス・ワーム感染」であり、「内部者に
よる不正アクセス」「パスワードの盗用」等、悪質なものは少ない結果となった。
質問 15:質問14で「セキュリティに関する事故・トラブルが発生したことがある」とお答えの方にお伺いします。発生した「セ
キュリティ事故・トラブル」はどのようなものですか。あてはまるものを全てお選び下さい(n=46)
回答数 回答比率
1.ウィルス・ワーム感染 45 97.8%
2.スパムメールの中継利用・踏み台 6 13.0%
3.ホームページの改ざん 2 4.3%
4.故意・過失による情報漏えい 2 4.3%
5.内部者による不正アクセス 0 0.0%
6.パスワードの盗用 2 4.3%
7.その他 1 2.2%
その他:ハッカー
④ トラブル時の相談者
セキュリティ事故の殆どが「ウィルス・ワーム感染」であったためか、半数が「社
内で対応できた」という結果であり、次いで多い回答が「コンピュータに詳しい知人・
友人に相談した」39.1%であった。「公的機関に相談した」は僅か 6.5%であった。
質問 16:質問14で「セキュリティに関する事故・トラブルが発生したことがある」とお答えの方にお伺いします。復旧にあ
たってどこに相談しましたか。以下の中からあてはまるものを全てお選びください(n=46)
回答数 回答比率
1.購入先のメーカーやベンダー等に相談した 12 26.1%
2.契約しているプロバイダに相談した 11 23.9%
3.公的機関に相談した 3 6.5%
4.コンピュータに詳しい知人・友人に相談した 18 39.1%
5.社内で対応できた 23 50.0%
6.その他 4 8.7%
その他:アンチウィルスソフトのサポートセンターに相談した/自己処理
-43-
⑤ トラブル発生時の責任所在
責任の所在について「経営者の責任であると思う」との回答が 46.0%と最も多いと
同時に、4割弱が「プロバイダーの責任」「ウィルスを送ってきた人の責任」「わから
ない」と自社以外へ責任を向けている。
質問 9:万が一、御社のPCに「ウイルス感染」または「セキュリティ上のトラブル」が発生した場合、その責任につ
いてどのようにお考えですか。以下の中から最もあてはまると思うものを1つだけお選び下さい(n=200)
回答数 回答比率
1.経営者の責任であると思う 92 46.0%
2.プロバイダーの責任であると思う 22 11.0%
3.メール等でウィルスを送ってきた人の責任であると思う 35 17.5%
4.誰の責任でもないと思う 17 8.5%
5.分からない 23 11.5%
6.その他 11 5.5%
その他:ウィルスを作ったものの責任/会社に責任はあるが、事故にあったようなもの/
ケース・バイ・ケース
⑥ セキュリティ管理者の有無
「『セキュリティ管理者』は特に決めていない」が 35.5%と最も多く、「各自が個別に
対応している」の 20.0%を合わせると半数は、セキュリティ管理者が存在せず、残り半
数は、従業員人数が少数ながらも「特別に管理者を設けている」などセキュリティ管
理者を設けていた。
質問 17:御社では、PCネットワーク環境における「セキュリティ管理者」を設けていますか。(n=200)
回答数 回答比率
1.別に管理者を設けている 19 9.5%
2.特別な管理者はいないが、業務的なリーダーが管理し
ている 66 33.0%
3.各自が個別に対応している 40 20.0%
4.社外のパートナーや友人に頼んでいる 4 2.0%
5.『セキュリティ管理者』は特に決めていない 71 35.5%
-44-
⑦ 機密事項取扱ルールの有無
「『社内ルール』はないし、特に検討もしていない」が 48.0%と約半数を占めてはい
るものの、「『社内ルール』がないので、現在検討している」も 30.0%で、「『社内ルール』
がある」の 22%と合わせると 52%となり、社内ルールに対しての意識が高まってきてい
るようである。
質問 25:御社では、機密事項を取扱う上での「社内ルール」はありますか。(n=200)
回答数 回答比率
1.『社内ルール』がある 44 22.0%
2.『社内ルール』がないので、現在検討している 60 30.0%
3.『社内ルール』はないし、特に検討もしていない 96 48.0%
⑧ 暗号化実施の有無
暗号化については「現在実施しておらず、今後も実施する予定はない」が 37.5%と4
つの選択肢の中では最も多い結果となったが、「全てのデータに対して『暗号化』を実
施している」2.5%や「機密性の高いもののみ、実施している」26.5%と何らかの形で既
に実施している事業者も3割弱見られた。今後実施予定が 33.5%という結果をみると暗
号化実施への意識は高まってきているようである。
質問 26:インターネットを経由して外部とのデータのやりとりをする際、通信の機密保持のために 「暗号化」
を実施していますか。(n=200)
回答数 回答比率
1.全てのデータに対して『暗号化』を実施している 5 2.5%
2.機密性の高いもののみ、実施している 53 26.5%
3.現在実施していないが、今後実施する予定 67 33.5%
4.現在実施しておらず、今後も実施する予定はない 75 37.5%
-45-
⑨ サーバー運用方法
サーバーについては「プロバイダーのみ利用している」が 67.5%と最も多い回答が得
られ、サーバーまで管理している事業者は「自社内でサーバーを設置、運営している」
8.0%・「レンタルサーバーを利用している」15.5%と全体の 23.5%であった。
質問19:御社では、インターネットを利用するにあたり、サーバーをどのように運用していますか。(n=200)
回答数 回答比率
1.自社内でサーバーを設置、運営している 16 8.0%
2.プロバイダーのみ利用している 135 67.5%
3.レンタルサーバーを利用している 31 15.5%
4.分からない 18 9.0%
また、サーバー選定時にセキュリティ面をどの程度考慮しているかについては、「セ
キュリティの最低条件だけは考慮している」が 51.8%と最も多く、「最優先している」
11.4%を含め約6割がセキュリティを考慮していたが、約4割は考慮しておらず、業者
選定時にはセキュリティ面をまだ十分に意識しているとはいえない結果となった。
質問 20: 質問19 で「プロバイダーのみ利用している」「レンタルサーバーを利用している」とお答えの方
にお伺いします。業者を選定するにあたり、「セキュリティ面」をどの程度考慮していますか。(n=166)
回答数 回答比率
1.最優先している 19 11.4%
2.セキュリティの最低条件だけは考慮している 86 51.8%
3.一応確認している程度であまり考慮していない 49 29.5%
4.全く考慮していない 12 7.2%
-46-
(3)セキュリティ対策の現状について
① 対策の有無
「すでに対策をとっている」と答えたSOHO事業者が半数以上おり、また、「今後
対策をとっていこうと検討している」と合わせると9割弱であり、セキュリティ対策
における意識は伺える。
質問 2:最近、不正アクセスによる情報改ざん等の事件が発生していますが、御社の「ITネットワークセ
キュリティ体制」の状況について、最も近いものをお選び下さい(n=200)
回答数 回答比率
1.すでに対策をとっている 107 53.5%
2.今後対策をとっていこうと検討している 71 35.5%
3.今後も対策をとる予定はない 22 11.0%
② (内部からの)情報漏洩の可能性
「情報漏えいの危険性はないと思う」が 58.0%と最も多く、「情報漏えいの危険はあ
ると思う」との回答も 30.0%と大きい値となっているが、従業員数が少ないためもあり、
内部者による情報漏洩への意識は非常に薄い結果となった。
質問 6:御社では、内部者による情報漏えいの危険性はあると思いますか。(n=200)
回答数 回答比率
1.情報漏えいの危険性はあると思う 60 30.0%
2.情報漏えいの危険性はないと思う 116 58.0%
3.分からない 24 12.0%
③ ウィルス防止への対策
66.5%が「既に対応済み」ではあるが、ウィルス対策はセキュリティ対策の最も基本
の1つと言えるだけに、「何もしていない・予定もない・わからない」という回答が約
2割もある現状を見るとセキュリティ対策が遅れていると言わざるを得ない。
-47-
質問 21:以前よりも悪質なウィルスによる被害が増えていますが、御社では 「ウィルス被害を防止するための
対策」をしていますか。(n=200)
回答数 回答比率
1.既に対応済み 133 66.5%
2.現在対応を進めている最中 28 14.0%
3.対応の必要性は感じているが、現在は何もしていない 27 13.5%
4.対応の必要性は感じず、今後対応する予定もない 3 1.5%
5.分からない 9 4.5%
具体的なウィルス対応策として、SOHO事業者の9割が「PCにアンチウィルス
ソフトを導入」していた。また、ソフト導入とセットで考えたい「ウィルス定義ファ
イルの自動更新」は7割に留まっていた。回答比率のバランスを見ると、対策を行っ
ているところは前向きに取り組んでいる姿勢が伺える。前述のウィルス防止対策の割
合とも比較しウィルス防止対策はSOHO事業者により、内容に差があるように感じ
られる。
質問22: 質問21で「既に対応済み」とお答えの方にお伺いします。「ウィルス被害を防止するための対策」
とは具体的にどのような内容ですか。以下の中からあてはまるものを全てお選び下さい(n=133)
回答数 回答比率
1.PCにアンチウィルスソフトを導入 121 91.0%
2.ウィルス定義ファイルの自動更新 94 70.7%
3.セキュリティパッチの更新 63 47.4%
4.利用しているサーバー(プロバイダー)のウィルスチェ
ックサービスを利用 51 38.3%
5.添付ファイルを不用意に開かないように社内で徹底して
いる 70 52.6%
6.フリーソフトのインストールを制限 19 14.3%
7.インターネットからダウンロード禁止 3 2.3%
8.ファイアーウォール用ハード・ソフトの導入 58 43.6%
9.その他 2 1.5%
その他:管理者がやっているのでよくわからない/プロバイダーのフィルタ機能
-48-
質問23:質問21で「対応の必要性は感じているが、現在は何もしていない」とお答えの方にお伺いします。「何
もしていない」最大の理由は何ですか。以下の中から最もあてはまるものを1つだけお選び下さい(n=27)
回答数 回答比率
1.知識・ノウハウがない 10 37.0%
2.予算がない 7 25.9%
3.現状の業務では必要ないから 6 22.2%
4.面倒だから 0 0.0%
5.自分が被害にあっていないから 3 11.1%
6.その他 1 3.7%
その他:PCが重くなるので、なるべくインストールしない
対策を行わない最大の理由は「知識・ノウハウがない」の 37.0%であった。次いで「予
算がない」の 5.9%であった。「現状の業務では必要ないから」22.2%、「自分が被害にあ
っていないから」11.1%と、実感を持てないために必要性を感じるまでに至っていない
回答も3割を超えた。セキュリティ対策はSOHO事業者にとって、漠然と意識はし
ているが何を行ったら良いかわからず、予算がからむとさらに消極的になってしまっ
ている様子が伺える。
④ PC管理対策
PCの不正利用防止策としては「使用者各自で管理」39.5%「起動時にパスワードを
設定している」38.0%で8割弱を占めた。「特に何もしていない」も 34.5%あり、使用者
各自がどのような管理を行っているかについては今回尋ねなかったが、起動時のパス
ワード設定管理以外主だった対策をしていないという実態が明らかになった。
-49-
質問18:御社では、社内PCの不正利用を防ぐために、どのような対策をしていますか。以下の中からあては
まるものを全てお選び下さい(n=200)
回答数 回答比率
1.起動時にパスワードを設定している 76 38.0%
2.顔や声紋、瞳の虹彩による個人認証システムの導入 2 1.0%
3.使用者各自で管理 79 39.5%
4.その他 3 1.5%
5.特に何もしていない 69 34.5%
その他:重要なデータは Mac をメインにしている/正当な使用者を限定している/
自分だけしか触らない
⑤ 情報セキュリティ教育の有無
既に教育を実施しているSOHO事業者は 14.5%と決して高い数字ではないが、今後
実施する予定と回答した 48.5%のSOHO事業者と併せると全体の6割強となり、情報
セキュリティ教育に対して前向きな姿勢が伺えた。
質問27: 御社では、従業員に対して「情報セキュリティ教育」を実施していますか。(n=200)
回答数 回答比率
1.既に「情報セキュリティ教育」を実施している 29 14.5%
2.「情報セキュリティ教育」は現在実施していないが、
今後実施する予定 97 48.5%
3.「情報セキュリティ教育」を実施していないし、今後
も実施する予定はない 74 37.0%
セキュリティ教育を実施しない最も大きな理由は「必要性を感じない」51.4%であっ
た。これは、従業員数が少ないため、かしこまって教育など必要ないという意味もこ
められているかもしれない。また「知識・ノウハウがない」がために教育を実施して
いないSOHO事業者が 20.3%もいることがわかった。
-50-
質問28:質問27で「情報セキュリティ教育を実施していないし、今後も実施する予定はない」とお答えの方にお
伺いします。「情報セキュリティ教育」を実施していない最大の理由は何ですか。以下の中から最もあてはま
るものをひとつだけお選びください。(n=74)
回答数 回答比率
1.他の業務で多忙 8 10.8%
2.予算がない 7 9.5%
3.知識・ノウハウがない 15 20.3%
4.適切な教材がない 0 0.0%
5.効果が期待できない 6 8.1%
6.必要性を感じない 38 51.4%
セキュリティ教育のテーマとしては「『セキュリティ事故』が発生したときの対処方
法」「データのバックアップ方法」「『セキュリティ事故』の具体的な実例」の3つが多
い結果となった。より具体的で現実的な教育を行っていることがわかる。実例や対処
方法の中身までは今回尋ねなかったが、SOHO事業者によりレベルの差が生じてい
るかもしれない。
質問29:質問27で「既に情報セキュリティ教育を実施している」とお答えの方にお伺いします。御社の従業員を対象に
実施している「情報セキュリティ教育」のテーマは何ですか。以下の中からあてはまるものを全てお選びください。
(n=29)
回答数 回答比率
1.『セキュリティに対する自社の制度』について 10 34.5%
2.『セキュリティ事故』の具体的な実例 15 51.7%
3.『セキュリティ事故』が発生したときの対処方法 17 58.6%
4.パスワードルール 10 34.5%
5.データのバックアップ方法 16 55.2%
6.個人情報保護に関する自社ルール 12 41.4%
7.社員のプライバシーに関する取り決め 6 20.7%
8.その他 0 0.0%
-51-
⑥ セキュリティポリシーについて
「言葉は聞いたことはあるが内容まではよく分からない」が 67.0%と最も多く、現時
点はでSOHO事業者のセキュリティ対策として【セキュリティポリシー】は正しく
理解されていないようである。
質問10:あなたは、組織の情報セキュリティに対するルール、要件を文章化した規則集である 「セキュリティポリシー」
とは具体的にどんなものかご存知ですか。(n=200)
回答数 回答比率
1.どんなものなのか、その内容まで理解している 24 12.0%
2.言葉は聞いたことはあるが内容まではよく分からない 134 67.0%
3.全く聞いたことがない 42 21.0%
【セキュリティポリシー】の策定については、回答が平均的に分かれた。「策定して
おらず、今後も策定する予定はない」が 29.2%ではあるが、残り 7割弱は前向きな回答
であった。しかし、この回答は前問で【セキュリティポリシー】について内容まで理
解していると回答した 24名の比率であり、対象者全体からいくと、8.5%しか前向きな
回答が得られていないということになった。
質問11:質問10で「どんなものなのか、その内容まで理解している」とお答えの方にお伺いします。御社
では「セキュリティポリシー」を策定していますか。(n=24)
回答数 回答比率
1.既に策定している 5 20.8%
2.策定作業中 5 20.8%
3.策定を検討中 7 29.2%
4.策定しておらず、今後も策定する予定はない 7 29.2%
5.策定しているかどうか分からない 0 0.0%
【セキュリティポリシー】を策定しない最も大きな理由は「自社の規模では、必要
性を感じない」85.7%であった。これら結果からSOHO事業者へ【セキュリティポリ
シー】の正しい教育を行う必要性がある。
-52-
質問12:質問で11「策定しておらず、今後も策定する予定はない」とお答えの方にお伺いします。
その理由は何ですか。以下の中からあてはまるものを全てお選び下さい。(n=7)
回答数 回答比率
1.知識やノウハウがないから 1 14.3%
2.予算がないから 1 14.3%
3.自社の規模では、必要性を感じない 6 85.7%
4.セキュリティ上の問題が生じる心配がない 1 14.3%
5.その他 0 0.0%
⑦ 個人情報保護法について
「よく知っている」は2割弱にとどまり、多くが「聞いたことはあるが内容までは
よくわからない」という結果となった。日々言葉は耳にはしているものの自分自身に
どのように関わるのか実感できておらず、「よく知っている」には当てはまらないため
回答が集中したと思われる。むしろ「まったく聞いたことがない」に 9.0%も回答があ
ったことの方が問題である。
質問13: 2005年4月から個人情報を取得し、取り扱っている事業者に対し様々な義務と対応を定めた
個人情報保護法が施行されますが、あなたはこの法律をご存知ですか。(n=200)
回答数 回答比率
1.よく知っている 35 17.5%
2.聞いたことはあるが内容まではよくわからない 147 73.5%
3.まったく聞いたことはない 18 9.0%
-53-
⑧ ネットワークセキュリティへの年間費用
SOHO事業者にとってのセキュリティ費用の実態は、最高でも年間「5万円未満」
が 7割強という結果であり、回答比率では「1万円未満」の 37.0%が最も高い数字であ
った。
質問30:御社では「PCネットワークセキュリティ」に関して、年間でどのくらいの費用をかけていますか。(n=200)
回答数 回答比率
1.1万円未満 74 37.0%
2.約1万円以上~5万円未満 72 36.0%
3.約5万円以上~10万円未満 12 6.0%
4.約10万円以上~20万円未満 5 2.5%
5.約20万円以上~30万円未満 3 1.5%
6.30万円以上 1 0.5%
7.わからない 33 16.5%
セキュリティ費用の妥当性については、費用の考え方がSOHO事業者により定義
が異なることもあり回答が分かれた。年間収入との関連性から、SOHO事業者の多
くは、PCネットワークセキュリティ対策を年間5万円未満で実現したいと考えてい
るようである。ただし、「予算があれば増やしたい」27.5%「もっと抑えたい」15.5%の
回答もあるように、セキュリティ対策の前に業績に左右されてしまうSOHO事業者
の現実も明らかとなった。
質問31:御社での、年間の「PCネットワークセキュリティ費用」について、どのように思いますか。(n=200)
回答数 回答比率
1.妥当である 66 33.0%
2.予算があれば増やしたい 55 27.5%
3.もっと抑えたい 31 15.5%
4.分からない 48 24.0%
-54-
⑨ 顧客からの反応
受託先からセキュリティ環境について要求をうけたケースは 2.0%であり、今のとこ
ろセキュリティ環境について顧客から問われてはいないようである。
質問32:業務を受託するにあたり、受託先から「セキュリティ環境」について何か要求を受けたことがありますか。
(n=200)
回答数 回答比率
1.「セキュリティ環境」について要求を受けた
ことがある 4 2.0%
2.「セキュリティ環境」について要求を受けた
ことはない 153 76.5%
3.わからない 43 21.5%
(4)対策を行う上での問題点と要望
① 対策を行う上での問題点
「どこまでやればよいか、分からない」が 65.0%と最も多く、次いで「知識・ノウハ
ウがないこと」「費用がかかること」が共に 50%以上という結果になった。この回答は、
前述の「ウィルス対策の必要性を感じているが現在は何もしていない理由」(参照:m.
ウィルス防止への対策)や「セキュリティ教育をしていない理由」(参照:o.セキュ
リティ教育の有無)とほぼ同様の反応である。費用を出すことを拒むというより、費
用を出す価値つまりは投資の意味や価値を検討してから行動するSOHO事業者の特
徴を表していると思われる。
-55-
質問8:ネットワークセキュリティ管理をする際の問題点は何だとお考えですか。
以下の中からあてはまると思うものを全てお選び下さい。(n=200)
回答数 回答比率
1.知識・ノウハウがないこと 116 58.0%
2.費用がかかること 108 54.0%
3.どこまでやればよいか、分からない 130 65.0%
4.相談先が分からない 31 15.5%
5.従業員の意識の統一 48 24.0%
6.分からない 6 3.0%
7.その他 3 1.5%
8.問題点は特にない 11 5.5%
その他:セキュリティレベルのステップ/経験不足、ちょっとした経験から多く
を学べない人が多い
② 国へ望むこと
情報セキュリティ対策について、SOHO事業者が政府や自治体に求めることは、
「セキュリティトラブルを取り締まる法制度の整備」が最も多く、次いで、「セキュリ
ティサービス利用の助成」と、「情報セキュリティに関する情報提供」という結果とな
った。前述の対策を行う上での問題点にあった「どこまで何をやればよいか」を望ん
でいるからこその回答であると同時に、強制的な取り締まりがないと行動を起こさな
い実情も表しているかもしれない。
-56-
質問34:今後、お勤め先で「情報セキュリティへの対策」を進める上で、政府や自治体に望むことはありますか。
以下の中からあてはまると思うものを全てお選び下さい。(n=200)
回答数 回答比率
1.セキュリティトラブルを取り締まる法制度の整備 120 60.0%
2.セキュリティサービス利用の助成 84 42.0%
3.機器・ソフト購入の助成 67 33.5%
4.情報セキュリティに関するセミナー等の実施 42 21.0%
5.情報セキュリティに関する情報提供 81 40.5%
6.社員教育への助成 18 9.0%
7.特にない 39 19.5%
8.その他 2 1.0%
その他:自治体は税金の無駄遣いだからなくして欲しい/不正アクセスをしかけて
くる数の突出している特定の国家への抗議
-57-
2.グループインタビュー内容
(1)1グループ(コンサルティング系SOHO事業者)
■参加者紹介
① A
・ 金融・通信・医療・不動産業界へのネットマーケティングのコンサルティング及び
Web 開発
・ クリニック・病院の総合企画予約サイトも運営
・ 創業8年目。社員平均30歳。
・ プライバシーマーク取得中
② B
・ 小売・カード・車業界へのマーケティングのコンサルティング
・ 昨年起業。
③ C
・ 海外からITのハードウェアやソフトウェアの独占契約を行い日本にて販売
・ 創業5年
④ D
・ 企業の営業部隊の業務改革の手伝いや業務分析から仕組み作りのコンサルタント
・ プロジェクトマネジメントツールの開発
・ 創業1年半
(1)情報セキュリティをどのようにとらえていますか
・ 経営情報(ノウハウと財務情報)と個人情報(顧客データなど)
・ 自社がもっているものと顧客がもっているものとイメージ
・ 情報セキュリティは大きく2つにわかれるイメージ
① 基幹業務・基幹システム
データベースでかちっと守られている。CRMは基本こちら。データベース
は操作を遡ることが出来、かなり守られているので、基幹システムについての
セキュリティは自信をもっている
② ファイルサーバー
顧客はファイルサーバーを懸念する。この中には特定顧客への提案書など、い
ろいろなものが入っている。ファイルサーバーは誰が何をしたということがわ
-58-
からない
⇒②が事件のもとであり、現在は、②をどうするというよりも、事件が起きた時に
どのようにしてつきとめるかに注力をおいている
(2)大企業のファイル管理などセキュリティ面はどのようですか
・ セキュリティの前に、どう監視をするかという考えにいっている
・ 個人情報保護法がどのようなものであるかより、何か起こった時にどうつきとめる
かについて、一番やらねばならないと考えられている気がする
・ 大手企業はセキュリティがしっかりしているというより、権限がしっかりしている
・ 中小企業は権限分けはできない。権限分けできがない場合何をしたらよいかと考え、
操作履歴をとるということになっている
⇒リアルタイムで履歴をみて監視というより、何かが起きた時に紐解けるように
というものである。監視から抑止。我々の会社はこういう風に履歴をとってい
るので悪いこと-例えば重要なデータをUSBにいれて外出してもわかります
というようなメッセージ-を発信していくようになるのではないか
・ 2005 年 4月よりカメラつき携帯禁止、メーラーの添付機能禁止という会社がある
・ 企業により差が大きい。セキュリティ管理が進んでいる企業は、プライバシーマー
クを取得し、今後個人情報をこのような形で使いますという宣言を開始している。
(3)顧客からセキュリティ管理に関する要望を受けたことがありますか
・ 最近、直接クライアントと仕事をする時や、広告代理店・SIベンダーと仕事をす
る時、プライバシーマークをもっていないと仕事ができない状況が増えている
・ 広告代理店と仕事をする時、プライバシーマークをもっていないと仕事ができない。
キャンペーンの当選発表などの仕事はプライバシーマークもっている企業とのみ
契約を行うといわれている
・ キャンペーンのデータ処理などを専業でやっている印刷会社などは、この状況に焦
っている
・ 大手広告代理店などが一番初めにプライバシーマークを取る気があるかを聞いて
きた。代理店が行う個人情報保護法の研修を受講しサインを行った
・ メールでファイルを送る際、メールにファイルとパスワードを一緒に通知するので
はなく、通知は電話など別手段での徹底をしている顧客があり、罰則はないが、書
類にサインを行った
(4)顧客からネットワークセキュリテイ面に関する要望を受けたことがありますか
・ 取引先から直接というのはない
-59-
(5)仕事の中で、情報セキュリテイについて不安を感じることはありますか
・ 事件が起きてしまったらどうしようということに不安を感じる。その懸念から急に
監視という方向へもっていってしまうとそこで問題が起きるのかと思う
・ 現状、監視はどこまででも出来てしまうので、どこでどう止めてという、着地点は
どこになるのかというのが関心所である
・ 情報が少ないところが不安である
・ やることはやっているし、私の会社の社員は大丈夫と思っている。ファイルサーバ
ー管理については、本当にこの管理で大丈夫なのかがわからず不安である
・ 保険会社の社内システムは立派だが、10万人の代理店(個人事業主)がおり、そ
の人たちはデータの入ったパソコンを日々持ち歩いている。その人たちをどうした
らよいか考えている大企業があり、やりはじめるときりがないと考えている
・ ファイル監視をやっている、クライアントの動きもみている。次はどこへ行くかと
いうと、プリンターへ来ている。コピーをやめて、全部プリンター監視にし、誰が
何枚プリントアウトした、そのためのセキュリティソフトを準備して…ときりがな
くなっている
・ Web 上で全て業務を簡潔させるという動きをはじている企業もある。本当にできる
のだろうかと疑問もある
(6)具体的にどのような対策を行っていますか
・ IIJのサービスを使っており、そこに任せている(=専門機関に任せている)
・ ファイルサーバー側とクライアントPC側にセキュリティソフト(ウィルス対策ソ
フト)を入れ、必ず使うようにさせている
・ ファイルサーバーやウィルスへの対策
・ 当社商品でもある操作履歴がわかるソフトをインストールしている
・ サイトにセキュリティポリシーをおいている
・ 自社のものでは個人情報は扱わないように心掛けている。外部侵入やオフィスのセ
キュリテイやバックアップやノートパソコンを持ち出さないなどの社内ルールは
作っている。
・ 教育は一応一通り行っているが、まだまだ。ファイルの管理や鍵をかけることは行
う
・ 教育カリキュラムはないが、顧客に教えることもあり、これとこれは守るようにと
いう程度は行っている
・ 顧客については、個人情報保護の件があるので情報セキュリティのコンサルティン
グも少し行っている
-60-
(7)Web 製作や運用をする上でセキュリティをどのように意識していますか
・ RFPにも現段階では入ってきていないのであまりポイントとなっていない
・ プライバシーマークを取得していることを営業時に説明はしている
・ Webとして見るだけの機能とファイルサーバーとを分けているところの仕事は請け
ている。基準というよりも、疑われたくない、自己防衛のために、というのはある
(8)Web 製作など関わっている人達のセキュリテイの分担について、どのように
整理すればよいと思いますか
・ 3つに分けられそうである
① Web を作っていること
② 結果どういうサービスができたということ
③ 携わっている時に知りえた情報
⇒どのように切り分けをするか、どのような契約をしていくかはまだまだできて
いない
・ 今顧客が心配しているのは、顧客が集めた情報をどのように管理すればよいか、使
用したいがこれはセキュリティポリシーにひっかかるのだろうか、というあたりが
テーマになっている
・ 業務委託していた会社が情報を持っていったや、データベースが流用されたなど、
会社の中の管理である気がする
・ セキュリティコンサルタントがいない。顧客で、設計ミスでワンパスワードで会社
の全ドメインが見えてしまったことがあった。
・ ITインフラを作ることに精一杯で、その上であるセキュリティへの意識が欠けて
いる
・ セキュリティソフト購入依頼は、総務部や経営者側からくる。情報システム部に売
り込みに行くと嫌だといわれるのが現状である
⇒情報システム部の人々は、経営の根幹が悪くなるという危機感をもっていない
ように感じられる
⇒経営者と直結していない気がする
・ 経営者はセミナーなどでトラブル事例などの話し聞くと、その時は不安に感じるが、
下に業務を振った段階で止まってしまい、またある時に気づき、聞いてみると何も
やってなくてバタバタして…ということになっているので、権限を持った人がしっ
かり行わないといけない
(9)セキュリティ情報はどこから入手していますか
・ ホームページから
・ セミナーには参加していない
-61-
⇒セミナーは特定分野に偏っているように感じられる
(10)Web アンケート結果の感想を聞かせて下さい
・ 一般の自宅環境と変わらないのではないか
・ こういう感じだろうなという感じ。意識も少ないし、やらなければと思いながらも
やっていない。自分のところには実際に被害はないだろうと思っているのだろう
・ パソコンというインフラ自体がSOHO事業者(IT系は別として)ではやっとい
れたという感じだと思う。IT業界が喧々諤々でやっていることがここへ浸透する
には時間がかかると思う
・ 普通の感覚のデータであると思った。しかし、不安は残っているとも感じる。政府
へ期待するものに情報とあるが、何かしてくれるのだろうかとも思っているのでは
ないか
・ SOHO事業者のセキュリティに関するニーズが何なのかがわからない。単純にア
ンチウィルスの話なのか、仕事をする上でのリスクがあるのか、その辺りが見えな
い
・ 顧客からの依頼は、今はないが、本来はあるはずである
・ 業種業態で意識は異なるが、あなたのところにも必要であると誰が教えるかという
ところだと思う
(11)SOHO事業者は今後どのようにセキュリティに対して取り組んでいかねばなら
ないと思いますか
・ 仕事発注者側はセキュリティ対策をきちんとしている企業を安心だと思い、選定を
始めているということを教えてあげるべきである。
・ SOHO事業者はまず個人情報だけでいいのではないか
・ 意識づけは大事だと思うが、何か報酬的なものがないとSOHO事業者は動かない
と思う。セキュリティは掛け捨ての保険のようなものとなっている
・ 情報やノウハウを教えてあげると良いのではないか。どこまでをやればよいのかわ
かっていないようなので、「こういうのは駄目ですよ」と具体的に教えてあげるべ
きではないか
・ ガイドラインを提示し、教えてあげる
・ 何を守ればよいかを定義してあげる必要があるのではないか。SOHO事業者にと
って何が情報セキュリティなのかなど
⇒SOHO事業者にとってのセキュリティの対象の明確化をすべきである
・ 人や業態によって違うのではないか。一律だとぴんとこないのではないか
(12)SOHO事業者に対し国はどのようなことができると思いますか
-62-
・ 一般的なガイドラインよりも、より具体的な告知やサイトが必要
・ 曖昧なものになってしまう傾向があるので、「こういうことが起こって問題になっ
た」という事実や、行動に起因するようなレベルのものがあると実感がわいて良い
と思う
⇒名簿をプリントアウトし、名簿屋に売ったらだめとか、責任をとらされたら損害
はいくらぐらいだというようなもの
⇒つまりは、やって良い事と悪い事が簡単に検索やチェックができ、悪い事をやっ
てしまった場合はどれだけが自分に被るかがわかるようなもの
・ 補助金。
⇒セミナーに参加したら補助金を出すというような方法。
⇒ビジネスにはなりにくいが、セミナーに参加し、セキュリティルールを作成し
たら補助金を出すというような仕組みも良い
・ 個人情報はきちんと教えてあげたほうがよい
・ 企業経営者として個人情報は義務教育である。SOHO事業者には基本的なスキル
などの義務教育をしてあげるべきである
⇒そのためには、ポイントはこれである等行うためのカリキュラムを作成する必
要がある。1年目に学ぶことは個人情報で、最後には修了証書を発行する
・ 認定とか資格制度を設け、この資格をもっている人は仕事で採用されやすいという
流れにする
・ SOHO向けのプライバシーマークがあっても良い
⇒火元管理責任者ぐらいで良いのではないか。講習を受けて責任者は誰とわかるよ
うにする
⇒責任者をきちっと明示するのは、組織としてきちんと運営していくには良いこと
である
・ 義務化よりも、プラスアルファでやるほうが良い
(13)SOHO事業者にとって強み(安全性の証明)になると思いますか
・ 何のために武器にするかによるが、仕事の発注の条件にはなるが、必要十分条件に
はならない
・ AかBかどちらか一方という時には強みとなるが、それより納期を守るかどうかの
方が現状は大事である
(14)今後企業経営する上で、セキュリティ面で気になっていること等はありますか
・ 日本は情報セキュリティに関し、先進国の中で1番ルールが厳しい。神経質になっ
ている気がする。アメリカは普通に情報開示されており、クレジットリストを見る
ことができる。そこまでいかなくても、あまりに縛るのはどうかと思う
-63-
・ わからないことが多すぎる
・ ITインフラを作るところは終わり、人をどのようにコントロールしていくかとい
うところに話しが進んでいる気がする
・ 人のモラルも含め、どう社会基盤にできるか、が大きな問題であると思う
ポイント
比較的規模が大きい企業と取引を行う本グループでは、プライバシーマー
クを保持していないと業務を受託できていない状況が生じている
セキュリティポリシー策定や個人情報を取扱わないように心がけるなど
の対策を取ってはいるが、情報セキュリティに関する情報の少なさを不安
と感じている
国に対する要望として、①補助金、②基本的スキルの教育、③認定・資格
制度が挙げられた
-64-
(2)2グループ(SOHO団体、SOHOエージェンシー)
■参加者紹介
①E
・ テレマーケティング会社。全国主婦を在宅ネットワーク化し、アウトコールをお願
いしている。
・ 登録者は、40~50代の方600名程。稼動者は400名程
・ プライバシーマーク取得済み
②F
・ SOHOエージェント
・ クライアントからの仕事を登録者へ振り分け、登録者の教育、納品を行ったり、企
業内で働く障害者のトレーニングや業務進捗管理も行う
・ 登録者は、全国の20代後半~30代半ばの主婦2000名程
・ 実務は、主にデータ入力とHPのメンテナンス(製作ではない)
③G
・ 首都圏の在宅サービス支援を行うNPO
・ 登録者は、首都圏女性限定とし、現在3000名程
・ 実務は、データ入力・市場調査・ライター・DTP・HP製作など
(1)情報セキュリティをどのようにとらえていますか
・ これからどうしましょうというところ。あわてて、勉強やセミナーへ足をむけてい
る
・ 時間や費用負担などに頭を抱えている真っ最中
・ 情報は慎重に取り扱わねばならないと考えている
・ 社内のハード面・ソフト面・教育面はクリアしたが、在宅の方を今後考えねばなら
ないと思っている
・ 未然に防げることと、起きた時のケアが大事ではないかと思う。防ぐことは 100%
難しい。むしろ扱う個人のモチベーションの方が大事だと思っている
・ どこまでが個人情報なのかがわからない
(2)顧客からセキュリティに関する要望を受けたことがありますか
・ 現状はないが、見積り段階で外注に出してよいか検討させてくれというのが 1件あ
-65-
った。しかも、オープンに公開されている情報であったのでそんなところまでセキ
ュリティをかけるのかと思うことがあった
(3)ネットワークセキュリティに関してはどのように対応を行っていますか
・ 在宅のIT化を取り組んでいるが、データリストのやりとりは宅急便
⇒データ化されないものは金庫で管理している
・ 現在、データのやり取りはIDとパスワードをかけている
・ 生原稿ではなく、コピーしてスキャニングしたものを暗号通信してデータはおくっ
ている
・ 登録時に、パソコン環境をハードルの1つとしている(どれぐらいセキュリテイに
きちっとしているか、どれくらいの容量のやりとりができるのかなど)
⇒経験値をもとに作成したチェック基準で対応している
・ 皆で会話できる(在宅をやっている人やこれからやりたい人のために)メーリング
リストを立ち上げたが、管理がとても大変だった。リーダー1人を管理者としたが、
その人に集中攻撃がきてしまった
・ コミュニティということでメーリングリストをやっているが、管理者が大変な状態
(おばちゃん同士のやり合いになったりする
(4)現状、どのような点に問題を感じていますか
・ 契約書の中に仕事終了時データ削除、古いパソコンを捨てる際、データは全て削除
の上破棄しなさいとうたっているが、「やりました」といわれても実際に行ったか
どうか確認のしようがない
・ PCを使ったことのない40~50代の在宅の方々のネットワークの意識につい
ては難しい
・ セキュリティに関しては、在宅の仕事を始めたい方はずさんである
・ 「なぜウィルスメールがくるのか、あんたのところへつないだからだ」という答え
がかえってきてしまい、どうしてよいかわからないレベルの方もいる
・ SOHOワーカーはなんでもかんでも(契約の件やクライアントの愚痴など)イン
ターネット・掲示板・ブログに書いたり聞いてしまう
・ レベル管理が大変。ネット管理もあるが、もっと個人レベルのセキュリティも大事
・ 仕事の業種によっても異なるが、在宅ワーカーの組織をどう作るかが問題であり、
大変
・ これはSOHOにも限らずとも思う。どこまでを個人情報というのか、どこまでセ
キュリティというのかという基準がわからない
・ これはパソコン環境上必要だから購入してねと登録者に言うことができない。なぜ
なら、登録者は神経質なところがある(商品を売るのが目的ではないか、自分達の
-66-
リストが流されるのではないかと思われる)のでうっかり進められない
・ イーラーニングなど全員に受講してもらいたいものがあるがお願い出来ないのが
現状
(5)Web アンケート結果の感想を聞かせて下さい
・ 感覚的にこういう状況だろうという。まだ切迫感はないと思う
・ 商売として考えた時に、事業そのものが存続できるのかどうかということを切実に
感じていない気がする
・ 怖いと思った。職種の比率をみて、ショップ経営の方が多いが、その人々の認識が
このようでは怖いと思った
・ DTPやデザインはわかるが、Web 制作やシステム開発などITの中心となるよう
な仕事をしている人々の感覚がこれではいかがなものか。もう少し高めねばならな
い
・ 何もする必要性がないという回答があったが、必要はあるということを訴えねばな
らないと思う
・ 認識が甘いので、SOHOネットワークの団体同士でもっと意識を高めていかねば
ならない。仕事が来なくなるよと
・ 仕事がこなくなるということをわかってほしい
・ お金も保証もないので、個人レベルではプライバシーマークはとれない
・ その前の段階のSSLなどは13万ぐらい、ジオトラストは3万5千ぐらい。この
くらいの投資をしてくれないと仕事はお願いできないかなと思っている
(6)今後、セキュリティ管理において望むことを聞かせて下さい
・ 情報を流すなどの啓蒙をして欲しい。自分のところで情報を流すことだけはできる
が、お上など、きちっとしたところがやってくれると意識づけができる
・ SOHOと仕事を発注する企業側の両方に啓蒙していかないといけないと思う。し
かも錦の御旗で認めてくれるところが動かないといけない
・ 総務省が公表しているセキュリティのガイドラインは浸透しているのかという疑
問がある。良いことが多く書かれているのに末端作業者にまで届いていない
・ “テレワークセキュリティガイドライン”と書かれたとしても、そういう仕事をし
ている本人でも何なのかわからない。もっと噛み砕き、現場視点で書かれていない
と浸透しない。HPでガイドラインの情報を会員にお知らせしたがアクセス件数が
少ない。意味がわかっていないのだと思う
・ 資料が膨大になってしまうと全てを把握しきれないので、噛み砕かれた、自宅で仕
事をする場合は「これ」みたいなものが欲しい
・ 小冊子のようなものがあるとよい
-67-
・ 小冊子のほかに Web 用に配信できるようなものが同時にあると良い
ポイント
“セキュリティ”や“個人情報”の基準の明確化が求められている
情報セキュリティに関する知識不足に加え、人手不足や費用負担を課題と
してとらえている
情報セキュリティに関してわかりやすくまとめられた小冊子等の作成が
有効であるという意見があった
-68-
(3)3グループ(システム開発系SOHO事業者)
■参加者紹介
①H
・ 金融機関を中心にデータベースまわりの展開を行うプロダクトメーカー
・ 創業2年目
②I
・ 大企業を中心にマーケティングサービスやオリジナルソフト開発
・ 創業6年目。金融・流通・小売・公共・サービス業・教育機関等300社ぐらいに
提供。
・ プライバシーマークを取得のため最終審査待ちという状況
・ ISMSも取得しようと予定している
③J
・ 受託で Web システム(オラクルJAVAなど)の開発、テクニカル系のライティン
グや編集・企画立案も行う
・ 小さい会社のためPマーク取得は考えていない
④K
・ 在宅主婦ワーカーを使ったデータエントリーの最盛ビジネスを行う。
・ 創業3年半
・ ISMSを取得
(1)情報セキュリティの現状について聞かせて下さい
・ 人脈で取引をはじめたが、外部委託させない、仕事を外に出したくないというケー
スが多くなっている
・ 製品を自社開発しているため、導入時のコンサルテーションのカスタマイズは持ち
帰って行う場合が多い。その際、外へ情報を持ち出しさせない・プライバシーマー
クをもっていないなど色々言われたが、幸い取引をさせてもらえている現状
・ 知り合いのソフトウェアベンダーはこれが大きな弊害になっており、大手ベンダー
の下に入り仕事をしている
・ ネットや広告業界でのセキュリティの現状は、例えば、電通は外部へ仕事を発注す
る場合、プライバシーマーク・ISMS・BS7799を取得している企業にしか
発注しないという方針を決めた
-69-
・ SOHO事業者が直接大手広告代理店から仕事をもらうという流れは今後ほとん
どない
・ 再委託も禁止という感じ。受けたところがやらなくてはならない。再委託先がプラ
イバシーマークなどをもっていれば大丈夫であるが、非常に厳しい状況
・ ネット調査系では、日本マーケティングリサーチ協会が認証を付与する組織という
こともあり、そこに属している企業はプライバシーマークをもっていることが前提
になっている
・ プライバシーマークは持っていないと事業がなりたたないというところに当社で
はなってきている。資格がベンチャー企業の業績をダイレクトに左右するという認
識がある
・ ネット調査を依頼する企業(大手企業中心)は、プライバシーマークをもっている
ところにしか仕事を発注しないという状況になっている
・ 大手広告代理店より取引先へのチェックシートの中に、必須序条件とは書いてない
ものの、プライバシーマークやISMSを持っているか?という項目があった
・ エンドユーザーよりも、エージェントや情報処理事業者が非常に反応しているのが
現状でないかと思う
(2)情報セキュリティに対する認識を聞かせて下さい
・ どこまでガードをかければよいのか(紙は全部やめようという話などがでてい
る)
・ 企業は社員が罪を犯す可能性があると見始めている
・ 外部に対してより過剰反応を示すようになってきている気がする
・ IT系SOHO事業者として従事する立場からすると、ここまでガードをかけてお
けばここは活用できますなどを明確に教える機関がわが国にはない
・ カメラ付携帯を使って情報漏洩を行うなど、やろうと思えば犯罪は絶対におきる状
況にある。どこまでセキュリティをかけるかといういたちごっこになる可能性が
ある。だからといってカメラ付き携帯を使用させないという規制をかけるのでは
なく、むしろ、一貫した教育をうけていないために、モラルがなくなってしまっ
ている
・ まず必要な第1ステップは教育だと思う
・ セキュリティも、まずモラルからはじまり、情報をガードしなければいけない部分
と、それをどこまで活用できるのだ、という切り分けを、国が制定すべきかと思
う
・ 各人によりリテラシーが全然違う。セキュリティと一言で言った場合、システム・
情報のなかみ・危機管理までイメージできる人と、ウィルスチェッカーがはいって
いるんですとウィルスとすぐイメージする人とものすごくばらつきがあるので教
-70-
育は必要だと思う
・ それなりのIT会社で働いている人はセキュリティへの認識を持っているが、そう
でない自社でサーバーを置いている会社の担当者に、セキュリティのいろはを持っ
ていない人が多い。社内でパソコンに詳しい人が面倒をみている状況が多い。雑誌
にのっていたインストールCDを使用し、バージョンアップもしないで、うちはリ
ナックスを使っているから大丈夫ですよねという人がいたり、別では、顧客のサー
バーが書き換えられていることを担当者に報告したら、「うちもメジャーになった
か」という言葉が返ってきてしまったことがある
・ 情報流出だけではなく、踏み台にされて、他に被害が発生し、損害賠償請求がくる
かもしれないということの認識をほとんどの人がもっていない
・ セキュリティに関しては、ワーカーの意識とエージェントの意識にものすごく大き
なギャップがある
・ プライバシーマークも取得してしまえばそれで良いというところがあり、責任逃れ
になってしまっているのが実態
・ SOHO事業者は会社が信頼されるというよりも、「誰が」仕事を行っているかで
信頼されるケースが多いので、プライバシーマークのように会社に対してではなく、
仕事を行う人に対しての値のようなものができれば活性化するのではないか
(3)セキュリティの情報はどこから入手していますか
・ ネットが主力
・ IPAとか
(4)顧客はどのようなところから情報を入手しているようですか
・ ベンダー
・ 顧客はベンダーより偏った情報をもらっている
・ 顧客志向になっていない。
・ SOHO事業者と大企業では情報の入り方が異なる。SOHO事業者は、自分から
ネットなどで情報をとりにいかねばならない
・ 保険会社もネットワーク保険や個人情報漏洩保険を用意しているが、売りたいため
大手企業へ情報を流している状況
・ SOHO事業者自身も、自分は相手にしてもらえないのではないかという気持ちを
初めからもってしまっている
・ あるSOHO事業者とシステム契約はしたけれども、サービス使っていなかった。
SOHO事業者は、やりたいけどやれる人手がないというのが実情かもしれない
・ 情報の価値、情報資産の棚卸しの教育を受けていない
(5)SOHO事業者のセキュリティのレベルアップにはどうしたら良いと思いますか
-71-
・ 使う人はIDとパスワードの管理さえすればあとのハードウェア面は、当社に任せ
て下さいという解決策をビジネスとして行おうとしている
⇒同時に、ID・パスワードの管理についてはユーザー教育をせねばならない
・ 教育ビジネス。これをやっていれば大丈夫ですよという大丈夫セットのようなもの
があると良い。
・ 教育SOHOみたいな人がでてくるのではないか
・ 何が個人情報データかというのを皆がわかっていない
・ 中学は義務教育で、ちゃんと行政が学ぶ場を用意しているのに、塾がでてくるとい
った例のように、全体に幅広くではなく、目的を絞ったものを教えるような感じに
なる気がする
・ 今、コンサルティングの人が言っていることが大きく、わざと難しいような話をす
る。今のセキュリティコンサルティングはそういうところで商売がなりたっている。
誰かが小さいコンサルティング、一回のレクチャーで1万~3万ぐらいで教えるよ
うなものが必要になってくる気がしている
(6)Web アンケート結果の感想を聞かせて下さい
・ 自覚してIT系で少人数で仕事をしている人はまだ良いが、そうではない人々には
何を行ったらよいのだろうか
・ 過剰反応しすぎていないか。
・ SOHO事業者に対するセキュリティ教育は問診形式で1回1000円でWebで行
うのが良いのではないか
・ 職種形態を見る限り、ビジネス的に顧客からセキュリティのところはまだ言われて
いないところなのだと思う
(7)ご自身がセキュリティで苦労したり、困ったりしている面があれば教えて下さい
・ 顧客によるが、過度に反応する企業が多い(持ち帰らずに、ここでやってくれとい
うような)。その場合、拘束される時間が長くなるため金額は高くしている。現状
は支払ってくれているが、そのように強気で言えない顧客がいるのでその場合の対
応を検討しなければならない
・ 当社製品を使用し、情報漏洩が起きる可能性が高まってくる。そのため、ユーザー
教育というところへ目がいっている
・ 顧客のところで、ある程度まとまったデータができた時、それをどう管理させたら
よいか、が問題になっている
・ 電子媒体としてはガードをかけられたが、人間が行ったら終わり、防ぎようがない
・ ガイドラインがないため、過度な反応をしすぎてしまっている
・ どこまでガードかけて、どこから活用すればよいのかのガイドラインの作成を、コ
-72-
ンピュータベンダーや業界に求めてはいけないと思う
・ 3点
① 認証はとったが、どう維持するか。(コストなど不安面はある)認証を取った
ことがあだにならないようにしたい
② セキュリティはコストがすごくかかる。このコストをユーザーに転化できるか。
ローコストのために設立した会社だが、今は、情報セキュリテイ→仕事の品質
→コストという順番になってしまってい
③ 情報セキュリティの中でも、もの(成果物やアウトプット、納品物)へのセキ
ュリティ
・ 業界もグラグラきているので、落ち着かせるためにも、きちっとしたガイドライン
が欲しい
・ データーセンターの仕事はここまでね。ユーザー部門の仕事はここまでよ。委託先
にはこれとこれを発注してよい。こういうところをケアしておけば外部委託してよ
いなどのラインが欲しい。
・ 「考えて下さい」だと意見がでないので、「こうして下さい」というガイドライン
を事例など含め、小冊子やネット上で見られるようにしてあげるとすごく助かるの
ではないかと思う
・ 外部委託しないかぎりわれわれの市場は活性化しないので、国が早めにガイドライ
ンを出してくれると安心できるかなと思う
・ 顧客自身が判断できる基準・ものさしがない
(8)ガイドライン以外に何か求めるものはありますか
・ 助成金が欲しい。一部始まってはいるようである。群馬県はコンサルタントフィー
を5回分まで負担してくれる
・ 具体的な小冊子や Web
・ ネットワーク技術者などがいないところに対して、その人のPCの環境を定期的に
みまわってくれるようなサービスはすごく重宝されると思う
・ 資格を一SOHO事業者がとるのは大変なので、組合などで資格がとれるとよい。
認証単位の見直し
(9)SOHO事業者に仕事を依頼する上で、情報セキュリテイについて(最低限守っ
て欲しいことなど)の基準はありますか
・ ある。具体的には、弊社の機密保持契約。業務委託契約の中に機密保持条項と個人
情報保護の条項を入れている
・ 個人とそれを取り仕切っている会社と機密保持契約を結ばせ、それを結ばないとこ
ろへは仕事を出さない
-73-
・ 再委託会社と契約を結んでいればよいというのが一般的だが、再委託禁止という顧
客も多くなってきている
・ 外注で開発を請ける場合は機密保持契約を結んでいる
(10)具体的な教育施策についてはどのようなものがあると思いますか
・ 名刺の集合リストの取り扱い方法 紙ベース(社員の給与一覧・履歴書など)の取
り扱い方法をどう管理すればよいのかというところをわかっているようでわかっ
ていないので教育が必要。(例えば、鍵のかかるキャビネットにいれて、特定の人
が鍵をもちましょう。保管期限をきめて、保管基準をきめ、これを守れるルールを
確立しましょう。不採用になった人の履歴書は3ヶ月は保管するが、それ以降はシ
ュレッダーかけますなど)
・ 災害対策への教育も必要
ポイント
規模が大きい企業からの依頼でシステム開発等を行う企業で構成された
本グループは他グループと比較し情報セキュリティ対策への認識が高い
ことが明らかになった。
在宅ワーカー等が、「情報セキュリティ対策として具体的にすべきこと」
が明確に理解できる情報・ガイドラインが求められていることが明らかに
なった。
-74-
3.研究会議事内容
(1)目的
SOHO事業者における情報セキュリティ対策の現状及び課題把握調査結果(Web アン
ケート及びグループインタビュー)を踏まえ、SOHO事業者における情報セキュリテ
ィ対策の今後の方向性の検討を行う
(2)委員構成
以下に研究会委員の構成を示す(敬称略/五十音順、※は座長を示す)。
※内田 勝也 情報セキュリティ大学院大学 助教授
・川野 真理子 NPO法人キープラネット 理事長
・小杉 史郎 横浜ITサポート ITコーディネータ
・曽根 弘一 財団法人日本SOHO協会 常務理事
・田野 大地 スリープロ株式会社 管理部長
・野田 信昭 株式会社ネットワークセキュリティテクノロジージャパン
代表取締役社長
・山口 弘昭 NPO法人日本技術者連盟 TRUSTe アカウントマネジャー
認定プライバシーコンサルタント
オブザーバー
・入江俊夫 財団法人マルチメディア振興センター
・鏡 明彦 財団法人マルチメディア振興センター
(3)開催概要
■日時:第 1回研究会 2005 年 2月 7 日(月)10時 00 分~12時 30 分
第 2 回研究会 2005 年 2月 15 日(火)18 時 00 分~20時 30 分
第 3 回研究会 2005 年 2月 22 日(火)18 時 00 分~20時 30 分
第 4 回研究会 2005 年 2月 25 日(金)10 時 00 分~12時 30 分
■開催場所:代官山ヒルサイドテラス E棟サロン(第 1回~第 3回)
株式会社テレフォニー会議室(第 4回)
■検討課題:第 1回 Web アンケート結果及び課題検討
第 2 回 グループインタビュー結果及び課題検討
第 3回 今後必要な技術の検討
第 4 回 対策モデルの検討
(4)事務局
株式会社テレフォニー
-75-
(5)議事内容
① 第 1回議事録
1.研究会主旨説明
2.委員紹介
3.報告:Web アンケート結果
4.議事:Web アンケート結果より課題解決策の検討
(1)アンケート結果の感想
• 当団体の登録会員と回答者が似たところにいるかなと思う
• 今、何を知っておかねば怖いのか?を知ろうと思う
• 知識・ノウハウがないという回答をみると、雇用されずに自分で情報収集し、フォロー
することが一番難しいと感じる
→セキュリティ対策を行なってくれる担当者を置けるような制度があると良いと思っ
た
• 顧客からの要請については今のところ、まだ聞かないが、問題になっていないとは言い
切れない
• 予算がかけられないというのは基本的にあると思う
• 知識・ノウハウがないために手をつけられないという面と誰かに相談したりお願いした
りする場合のコスト面での板ばさみになっている気がする
• どこまで何をやったらよいのかという程度面も大事である
→これら3つの観点より解決策・方向性があればよいと思う
• 何かあったときに相談できる人が身近にいることが大事なのかと思う
→Web から情報を得ているという反応があるというのを見ると(良い悪いは別として)
情報は欲しいと考えているようなので、そこへアクセスすると情報が得られるような
ものが必要なのかと思う
• 個人情報保護の観点からみてもまだまだ認識が薄いのが実情
→こちらは法律ができるので、認識は多少出てきたが、どこまでやればよいのかをわか
っていない
• 認識はまだまだ低い。「5000 人の個人情報を持っていないから関係ない」という考えが
ある。信用を失うことの危なさや怖さへの意識を高めねばならない役割があると思う
→SOHOであればこそ、お金と人をあてて注意を払ってやって対策を練ることをやら
ねばならないと思うが、認識はまだまだ甘い
• 「PCネットワークセキュリティ」に関して、年間でどのくらいの費用をかけています
-76-
かの回答は関心深い
• 「対策をとらないのは予算が原因かと当初考えていた」と報告時に言っていたが、事業
をやっているのであれば、5万くらいの予算はとれるのではないか。予算はあまりネッ
クにならないのではないか
• 対策を取るか否かは、予算ではなく、認識の問題ではないかと思う
• 個人情報保護についても、大きな会社にいても認識が高いわけではない。罰則金額を聞
くと、「それくらいなら払う」という声が聞かれる。信頼を失うなどに認識が向いてい
ない
• 対策を取らせるには、同業他社の漏洩や自社内での痛い経験などが大きい
→企業規模に関係なく、痛い経験すると対策がとられるのではないか
→対策を取っていないところは、痛い目にあっていないからだと考えると、幸せな企業
のかと思う
• 年間5万は安すぎないか?月 5000 円弱ということになるが
→年収をみてみると、年間5万という金額になるのかとも思う
→使い方の中身をみないと5万という数字の妥当性はわからない
• 別で行った調査ではSOHO事業者のほうがしっかりしているという印象をもってい
たので、今回のアンケート結果は意外な感じがした
→その調査では、1300 の回答数のうち、従業員数 100~500 人くらいが 560 あり、いろ
んなことをやっているなという感じがある
→中堅企業以上のほうが、対策が後手に回っていると言われている
• どうやって情報提供をしてあげるかによっては、SOHOは良い環境になっていくので
はないか
• 個人情報保護法で考えたい2点
① 個人情報保護の一番の問題は、5000 人以上と言っている点にある
→100 人でも重要な情報をもっているところはあり、会社の存続に関わることもある
→例えば、個人対象の投資信託会社で、顧客数は 100~200 だが、持っているデータ情
報は非常に重要。5000 人には満たず、人数は少なくても命の次に大事な情報で、資
産規模は非常に大きい
②(SOHOから少しずれるが、)個人情報は顧客情報だけではないというところが考
えられていない思う
→例えば、従業員データの中にある健康診断の情報など
• 5万円以下が高い低いは判定できないが、この中で何ができるかを考えてみるのも1つ
-77-
である
• サービスプロバイダーを利用しているのが7割近くいる
→プロバイダーをどう使っていくか、アウトソース的に利用していくのが1つのやり方
か、と思う
• 情報入手方法が Web からとあるが、それでいいのだろうか、メーリングリストなどを利
用するほうがいいのではないか?
→Web は便利だが、尋ねていかない限り情報はこない。むしろ、来るよりプッシュの方
が良いのではないかと思う
• ネットワークセキュリティ・ITセキュリティという言葉の定義を各人の判断で答えて
いる
→「本当に漏れたら困る」と「法律に関わるから困る」というのは別である
→イメージや定義がバラバラなので、定義含めこのあたりをナビゲートしながら対策を
練ってあげると良い
• 費用について、SOHOはお金がないと言われるが、自分にとって価値があると判断す
るとSOHOはお金を出す
• 費用対効果がわからないところで、何となく5万を選択したと考える
→実情がみえれば、お金をかけるのではないか
→企業姿勢・倫理的な点だけではお金は出さない。ある意味シビアなので、今後の啓蒙
方法については考える必要がある
(2)情報セキュリティの定義について
情報セキュリティへの認識がバラバラであるがどう考えるか?
• 「ウィルス」と「情報漏洩」の部分で分けたほうが良いか
• そもそもの定義は
→「情報を守る」ということ
• SOHOは組織に属していない人というイメージがあるが、人が傷つくと同時に会社も
なくなってしまう
• 当面考えねばならないのは、ウィルス対策と情報漏洩の問題。そして、災害対策をどう
するか
→ISPを使っているところがもし多いのなら、ISPの選択をどうやって考えるか、
の方が重要であると考える
-78-
• 悪いことをする人は何処へ行っても悪いことをするので、対策はないのではないかと思
う。それなら、漏洩が発覚した時の対策方法を考えたほうが、前向きか。
• アメリカのプライバシー市場は2兆円あるといわれており、8割以上教育がメインとな
っている。それしかすることがないという結果の表れではないかと実感している。
• SOHO規模で何ができるか、内部からどう行うか、何をすべきなのか、いくつか施策
をミックスしてやるしかないのか、1つだけやればよいというのではなく、各SOHO
事業者にあった対策をパターン化できたら良いと思う
• 教育についての割合は驚きである(数値を差し引く必要あり。また、何を教育といって
いるかはわからないが)
• 従業員という意識は、アウトソースでだしているところまでが従業員であるという意識
はない。教育は、アウトソースに出している人も必須ぐらいにしないと末端のほうまで
は行わないだろう
→責任は出した所だという考え方がどこまで徹底されているかがわからない。質問が従
業員となっているので、ここではアウトソースに対する教育というのは薄いかと思う
• 内部漏洩のほとんどは管理不在によるもの。性悪説はあなたがたを信じないと言ってい
るのと同じ。経営トップは、お金になるようなものを誰の目にもふれさせないような仕
組みをつくるべきである。アメリカの性悪説はウソだと思う。悪い人間をつかまえる努
力はしているが、監視社会にしようとはしていない。それをつかうことにより利用者が
安心できる社会にすべきである。犯罪者をつくらない仕組みをするのがセキュリティで
あると考える。セキュリティは、監視する仕組みというより 安心してもらう仕組みで
ある
• 内部漏洩の割合はアメリカ77%、日本は17%(推測値)で、日本はアメリカに比べ
ると少ない。8割がハッカーによるもの。従業員が悪いことをやっているのは少ないと
いうことがわかる。なぜセキュリティ商品を入れるのかというのは、お客様のためとい
うことを理解してもらいたい
• セキュリティはマイナスイメージがあるが、安全性の証明ということを全面に見せる必
要がある
• 費用でなく投資の観点が必要である
• 「プライバシーマークをとっていないと発注しない」とクライアントに言われ、急遽取
得している企業が増えてきている
• 「対応できる対策をとることが必要だ」ということを見せることがまず大事である。業
種によるのかもしれない
今回のアンケートは法人化の割合はどのくらいか
-79-
• 10名抱えていて個人事業主ということはありうるのか
→個人ということは少ない、法人化していると思われる
• 10名以下というのは正社員にこだわらず、パートなども含めてか
→パートなども含めて10名と考えている
→実態は、常勤は1~2名であろう。その辺りは、グループインタビューでも聞いてみ
る必要があるかもしれない
• 法人化すると独自ドメインをとるなどでレンタルサーバーを借りるところが多くなっ
ているので、この結果は奇異な感じ。サーバーで独自ドメインをとるということは一
般的になっているので、セキュリティの部分は、プロバイダーよりもレンタルサーバ
ーの部分の方が重要なのかなという気がする
• プロバイダーよりレンタルサーバーのほうが重要か否かは属性によるとは思う。自社
HPを開いたり、メールをたくさんもつとプロバイダーではすまなくなるのが実状。
どちらターゲットとするかによる
• SOHOの方々の置かれている環境により対策はだいぶ異なってくる感じがある
(3)中間まとめ
► 情報セキュリティは情報を守るという観点より、
① 予防(ウィルスやワームや情報漏洩をどう防ぐか?災害をどう防ぐか?)
② 起こってからどうするか?
► 予防面では教育の問題が1つある。同時に、環境の整備も大事で、管理という観点で
の環境整備がある。
► その中でセキュリティを提供している企業の考え方は変えざるをえない。
► おかれている環境により、状況によりだいぶ違うようである。ISPという点、レン
タルサーバーという点など、状況により対策が異なるようである。
(4)課題解決策について
• 大きなセールスポイントとしてセキュリティ対策を表に出すことができるようになる
かもしれない。
世の中の認識はどうなのか
→世の中についていかねばという思い。かつ何をどうやらせたらよいか責任意識があ
る
• ネットショップはSOHOとは別に考えたほうが良い
• Web を使用しているところとそうでないところは、違うと見たほうが良いようである
-80-
• Web 制作などを提供する立場にいる人たちはどのように考えているかを知りたい
• ネットショップは自らがオーナーなので真剣に考えている
• 委託元の担当者が経営企画の人、独学で知識を得た人、セキュリティに詳しくない人
などで、一番安いところに発注をかけるパターンが危険
→大部分が設定ミスにより問題がおきている。
→プログラム理解不足とは別に、基本的な考え方の不足がある
→発注元の人の知識(サーバーの基本的な考え方・セキュリティの考え方)は必要
→2001年ぐらいに漏洩した事件というのは、設定ミスで明らかに知識不足の人た
ちが行っていることによる
→安くて早くやればよいというところで問題がおきている
• チェックリストを作ってあげると良いのかもしれない
• 漏洩後については、中小企業を対象にした『企業を危機から守るクライシスコミュニ
ケーションが見る見るわかる』(東京商工会議所)が参考になる
→危機管理の基本的な考え方はジョンソン・エンド・ジョンソン「タイレノールの対
応の仕方」が有名
→これらを参考にしながらチェックリストを作成するのもよい
• ジャパネットたかたは、上手に対応した。マスコミに非難されていない
• トラブルが発生したときの責任について、責任転嫁をしている人がいる。経営者の意
識を高める必要がある。教育、メーリングリストなどを使うなどして
→責任追及ではなく、原因追求をしていくことが大切。“誰の責任か”より、“なぜ起
こったか”“だからどうするの”という部分を考えねばならない
• この背景には、踏み台にされてしまうことがおおく、複雑化しているところもある
• 「誰の責任でもないと思う」や「分からない」に回答している人がいるのをみると、
認識をさせてあげることも大切であると考える
• 質問が「セキュリティ上のトラブル」となっているのでバラバラになってしまったか
もしれない
• SOHOが考えねばならないセキュリティポリシーとして、第3者からの指針が必要
な気がする。最低このラインはやらねばならないというようなもの
• セキュリティに対する認識を新たにもってもらうのは大前提だが、必要性の認識とい
う点もある。アンケート結果からではまだ危機感がない。全てが曖昧な中で実態が進
んでいるので、方向性の1つとしてガイドラインを提出する方法はあるのかもしれな
い
• 解決策の1つとしてチェックリストみたいなものを作るというのは1つのやり方とし
-81-
てあるかと思う。全てISPにまかせっきりでよいのか?と思われるので。
• 認識は一度痛い目にあえばわかると思う
• 痛い目にあっても、それでも1年に何十回もあるところがある。対策を立てていない
というより対策の立て方が理解できていないのではないかと思う
• 学生の 1人がISMSの中小企業版のようなものを作りたいねと言っており、場合に
よってはここにつれてこようかと
• ISMSやプライバシーをやるとなったら大変なので、チェックリスト的なものをま
ずつくり、簡易的に、ISMSなどの手前段階として、年間 5万~10万程度でできる
仕組みがあればよいと思う
• SOHOはそのくらいからがまず良いと思う。チェックリストを経済産業省のHPに
のせると世の中に出回るのではないかと思う
• 「どこに問題があるのですよ」ということからはじめないと、対応策がでてこないの
ではないか? 無意識でやっている中、セキュリティ上で対応したほうが良いポイント
を出してあげるということがスタートかと思う
• 費用は別として、どこまで行なえばよいかわからない気がするので、知識やノウハウ
のあたりを考えてあげることが必要かと思う
• 基本的に考え方は同じだと思うが、個人情報保護で気をつけねばならない点は、苦情
の対応や開示請求などで、見逃して欲しくない点なので、法律の観点からも最低ライ
ンを打ち出してあげるべきかと思う
• セミナーを行なうと、「開示請求が来たときにどこまで開示すればよいか」「手数料は
いくらぐらいとればよいか」という質問が多いので、小規模企業といった各人の事業
にあてはまるようなものを作り、広めないと実質良くならないと考える
• 県レベルで行なうセミナーなどにくる方は、大企業や大企業の子会社の人がほとんど。
中小企業がこない。100人未満クラスの人が入ってこない。セミナーも下まで浸透
しない現実がある
• 年間40~50回勉強会などを行っている。3月にウィルス対策やセキュリティの勉
強会を行う予定。細かく教えてくれる人が身近にいないのが問題である。小さい団体
はこまめに地道にやらねばならない。そして、それを定着させ、大企業よりSOHO
の方が信頼度が高いという風潮につなげていけねばならないと考える
• 小さいところ、むしろSOHOのほうが徹底できるのではないか。
-82-
第一回研究会総括
Web アンケート結果に基づき、SOHO事業者における情報セキュリティ対策の現状把握
から考察を行った。SOHO事業者における情報セキュリティへの認識の薄さ、危機感の
なさが浮き彫りになると同時に、各SOHO事業者の事業内容等によっても状況に差異が
あることが判明した。情報セキュリティとは「情報を守ること」であるが、具体的な対策
方法が明確になっていないため、1つの方向性としてSOHO事業者向けのガイドライン
や全体へ浸透していくための教育の必要性が謳われた。
-83-
② 第2回議事録
1.報告:グループインタビュー結果 2.議事:グループインタビュー結果より課題解決策の検討
(1)グループインタビュー報告の感想
• “意識が低い”と“過敏すぎる”という両極端の感想に驚いた
• 皆、ガイドラインを必要としていると思った
• 商法改正のセミナーを緊急で開催することになった。主催者側は商法改正は非常に大
事なので、関係者も興味をもち、申し込みが多くあると思っていたが、申し込みは思
っている程ではなかった。
• 大企業の反応の仕方とSOHOの反応の仕方が大きく異なるようである。主催者側は
そのことを十分理解し、主催せねばならないと感じた。今回については開催時期が早
すぎたようである。本件にしても、意識を高めてからガイドラインを出したり、セミ
ナーを行なった方がよいかもしれない。準備が必要である
• 意識を高めるための教育、また過敏すぎる人にも教育が必要だと思った
• グループ2が自社に近い感じ。認識として抱える問題に共通する点が非常にある
• 定義づけがそれぞれ、アプローチが異なっているように思える。まず、同じテーブル
にのせることが大事であると思う
• セキュリティや個人情報の定義がぼやけているので、意識がいかないところがあるよ
うである
• ガイドライン。一般的なものではなく、どこまで何をしなくてはいけないか、それを
見て、何をせねばならないかがわかるもの
• 教育。どう教育していくかは難しいところだが、必要性はかなりあるようである
• 3グループごとに内容が違って面白かった。(SOHOという言葉も人それぞれ定義
があり、考えているイメージが異なり、それがいろいろな問題を引き起こしているこ
とがある)
• それぞれの問題意識や必要としているセキュリティの考え方がわかれており、個人情
報やセキュリティを核にすることによってSOHOのカテゴリーわけを新たにする
ことができるかと思った
• 個人情報保護法などの法律を含め投げかけられている問題をきっかけにSOHOと
いう言葉が新たにがカテゴライズされ、それぞれの姿が明確に見えるようになってき
て、ある意味良いほうへ進むのではないかと漠然と思った
• グループ2の中にあった掲示板にクライアントの愚痴を書くなどの問題はどうしよ
うもないというところがあった。今回、法律のくくりが入ることで、教育さえすれば、
-84-
なぜそういうことをしてはいけないかが明確にわかってくるようになる。今まで漠然
としていた評価軸から、情報セキュリティのキチッとした評価軸ができ、そこからプ
ロ意識に繋がって語れるようになるのは良い方向だなと思った
• グループ1の話で、取引先から求められているものにPマークがあると言っているの
に対し、ネットワークセキュリティにおいての要望についてはあまりないという回答
が極端だと思った。個人情報保護法という法律があるかないかが大きな境目であり、
法律があることが企業の行動を変えるなと漠然と思った
• 神経質かなと思った。
• 教育は非常に難しいという気がしている。
• 性弱説な教育が必要だなと思った。もう少し具体的なもの・通り一遍のセキュリティ
教育よりも、時間はかかるかもしれないが、哲学的な・ハイレベルな教育をしていっ
たほうが良いのかと思った
• セキュリティパッケージビジネスを行っている際の傾向として、セミナー開催時に保
険会社が保険の説明をさせてくれと言ってくるというのがある。これも1つの流れか。
事が起きてしまったら仕方がない。起きてしまったらカバーするには保険しかないか。
この種の保険がでてきたのは1つの流れでもあり究極な気がした。
• 考えられそうなことは話をしていると思った
• グループによってかなり意識が違うのは事実なので、この辺りをどうやって考えてい
くか
• (この中だけでは決められないが、)誤解もたくさんあるのかと、そういう部分から
考えていくのも1つ
• 教育の哲学について、セキュリティ関係のセミナーでは性弱説などの哲学的な話と具
体論の話をしている。
• パスワードをどう作るかということを教育しているところがほとんどない。こういう
パスワードを使用してはだめ(ex.生年月日・電話番号)とは言われるが、具体的にど
のようなものが良いかと聞くと答えがでてこない
• 具体論に対して回答してくれる人がいないのは事実
• 個人情報保護法に関して具体的にこういうことをやってはいけないということは、法
律からしか(セミナーなどでは)語られていない
• 具体論が出てきていないことが問題なのかもしれない
• セキュリティ意識をどうやって高めていくかということに関しては、なかなか良い方
法がないという感じ
• ネットワークセキュリティに関して大部分が必要ないといっているが、個人情報とネ
ットワークセキュリティは繋がっているのではないかと思うが、参加者のイメージが
見えていないのでよくわからないところではある
-85-
• 資格試験について考えるのは良い
• 補助金については、何か仕組みづくりをしなくてはいけないと提言をしようと思って
いる
• 日本ではコンピュータの教育を受けなくてもコンピュータを仕事にしている人はた
くさんいる。セキュリティも同様の事実。セキュリティを表明していても実は自分の
得意分野だけで仕事をしている感じもあるので、この辺りは考えていく必要はある
• 教育を受けただけで補助金を出すというのは駄目かもしれないと思っている。シンガ
ポールは教育を受け、資格を取得したら補助金を出すという制度を行っている。企業
ではなく、個人に補助金を出す仕組みになっている
• 資格を一企業で取得するのは大変だから、組合で資格をとれる仕組みというのは、上
記のような考え方が取れるのであればそれも良い。組合の中に資格をもっている人を
作り、組合の会員に対してサービスができる仕組みのような
• ISMSなどはグループ会社で取得という考え方もあるので、できなくはないと思う
が、そうなると関連しているところ全てが対象となり、かなり大変。お金もかかるの
で、もう少しSOHO向けの対策を考えねばならないと全体的に思った
• なかなか大変だなというのが実感
(2)課題解決策の検討
• セキュリティや個人情報の定義が漠然としているので、そこを国がしっかり定義しな
いと筋が通らないのではないかと思うが
• 海外ではCISSPという資格試験があり、そこはセキュリティについて10分野を
決めている。どういうようなものがあるかなど考え方を適用するのも(適用方法は別
として)1つのやりかたかもしれない
• 経済産業省などで定義はされているかもしれないが、一般化されていないのかもしれ
ない
• 誤解はすごく多い。その辺りをどう考えていくか。何でも個人情報というイメージが
あるので、もう少し仕組みを考えねばならないかもしれない
• 個人情報対象事業所など考え方をきちっと教えてあげねばならない
• 広報活動ですね
• 個人情報って何という解説を1Pぐらいで、出来る限り箇条書きで簡潔にかいてあげ
ることが大切かと思う
• 教育してまわれる普及員のような人たちをまず育てるほうが早いのではないか。その
人たちに補助金を出すというのも良い。そこからその人達がもっているネットワーク
へ呼びかけ、教育と資格を受ける人を増やすというやり方だと早い
• 3グループ[システム開発系SOHO事業者]の人たちの中にSOHO用の教育を行
うSOHOがでてくると良い。同時にその人たちがペイできるようにしないといけな
-86-
い。その部分は問題
• 企業に対して補助金をだすとちゃんと教育しないのではという問題があり、個人にだ
すと、その個人がいなくなる可能性がある(就職してしまったなど…)。どう維持し
ていくかという点は難しい話としてでてくる気がする
• 一定の教育をやる場合、そろそろ個人に対して行うのと、資格を作るなら2~3年で
更新という仕組みづくりにしなくてはいけない
• レベルを維持するということ
• レベルアップをしていかない人には教育を受けてもらう。ブラッシュアップをしない
人は終わりという仕組み
• 例えば、情報セキュリティの資格を与えた場合など、SOHOにとって具体的メリッ
ト、リスクヘッジになるようなものがないと動かない
• リスクとしてその人に依頼すれば必ず大丈夫というのが客観的に証明できれば良い
が、そこが難しい。その辺りを具体的に資格を取る人にとってのメリットを示せない
と依頼主としては単純に資格だけでは難しい
• 現実、プライバシーマークは担保していない。個人のところもそこを考えた仕組みづ
くりにしないといけない
• 全体で上手く機能するような仕組みづくりや合格した人が集まってやれるような状
況を作り出していかねばならない
• 仕組みづくりを後からしていかないといけない。認知されるようなレベルを維持して
いく必要がある
• 方法は2つある
①1回取得し2~3年の間にもう1回また取得し直す必要があるというもの
②取得後2~3年の間に一定の教育を受けねばならないというもの
• 試験を運営する側からいくとポイント制の方が一定の金額が入ってくることになっ
て良い。その辺りも考える仕組みも作らないといけない
• 運営側の問題と補助金の問題、この2つの上手な仕組みを作らないと維持できないか
もしれない
• 資格を取った人はある団体の保険に加盟でき、何か損害が起きたときに担保されると
いう仕組みにすると企業側は安心なので仕事を任せられるのではないか。そこから生
じる経済的損失が怖いと思っているのでそこを担保する仕組みがあると、資格などが
機能する1つの要素になると思う
• セキュリティ保険に加入する際の審査を、試験を受かった人にやってもらったところ
は保険会社の審査が必要ないなどの仕組み作りは不可能ではないと思う。こういうも
のを考えてやっていく必要があると思う
-87-
情報セキュリティをどう定義すればよいか
• 漠然とした考え方で言うと2つあるだろう
① 守るという考え方
② 積極的に投資するという考え方
• 守るという方でいうと、それなりの対策費用を考えてというような形。今の個人情報
は守るだけという考え方がある。また、守るを発展させて投資的な考え方が出来れば
よいと思う
• セキュリティって何と言われるとすごく困る
• 時代とともにかわる可能性があるのではないか。20~30年前は、日本警備保障の
イメージ。このごろはセキュリティの頭に情報がつくというイメージ。固定的なもの
ではなく、2005年度のセキュリティというような
• 個人情報だけ守っていればよいかというと必ずしもそうではない。物理的な部分や人
も守らねばならない。そうすると、SOHOは個人情報だけ守れば良いというのはち
ょっと極論すぎる気がする。SOHOにとって大切な情報とは何か、は企業によって
違うかもしれない
• 情報セキュリティの情報はネットワークやパソコンに入っている情報だけをいうの
ではないということを言っておかねばならない
SOHO全般に共通するところと、個別性の問題がかなりでており、それをどう整理
したらよいか
• 出してはいけないものと侵されてはいけないものに分けられるのではないか。出して
はいけないものは個人情報だけでなく企画書含めて外へ出してはいけないものと、ウ
ィルスなど外部からくるものから防御するものとにわけるのはどうかなと思った
• グループインタビューをしていて感じたことは、2つの軸があって話されていると思
った。相手に対して与える被害と自分のところにかぶる被害の大小で。被害が大きい
と皆必死だが、小さい業種は興味関心はないという印象が色濃く感じられた。SOH
Oの方は利害に敏感である
• それは仕方がないと思う。プライオリティから言えば、別のほうが高いのだから、リ
スクで言えば自分のところでそれをアクセプトするということである。(そのリスク
に関しては。)今ここで議論している部分に関しては「全然関係ないのですうちは。
そんなものは自分のところでかぶれます」と言えればそれでよい
• そういう人たちには考えなくて良いといってあげてよいと思う。情報として守らねば
ならない部分が極端に他のものより小さいのであれば、何もしなくても良い。そのか
わり事故起きたときはそれなりの費用をかぶる覚悟をしなさいと言えばよい
• ただ、そういう企業があるかと考えるとそんなことはないと思う
-88-
何が重要かという部分の考えができていないのだろうと思う
• 気がついていないということはあると思う。何がその人にとって重要なのかというこ
との考え方が見えていない部分があるのだと思う
• 対策を考えていく上でのターゲットということになる。それは定義にも繋がるかもし
れない
• 重要なものにはこんなものがありますというものに、建物・関連機器・直接的なハー
ド・データ・人間など4~5のカテゴリーに分かれると思う
被害の観点と発生頻度の観点をSOHO事業者という視点で整理すれば見えてくる
ということでしょうか
• どういうものがあるか?ということの棚卸しができていないケースが大部分なので
はないか。だから、SOHOには個人情報だけというのは疑問がでてくる。企業によ
って違ってくるだろう
• そういうものをもとにガイドラインが整理され、それをいかに教育するかという中で
資格というものがでてくる。けれど、そうはいってもどれだけメリットがあるのとい
う担保の問題が一方ででてくる
• SOHOの中でどんなものを守らないといけないものとして考える必要があるのか
というところが最初なのだろう。守るべきものが見えていない限りはセキュリティが
重要といっても駄目だと思う
• そもそも誰のために、何のためにという目的なのかもしれない
• それに対してどう対策をたてるかがでてくる
SOHOがビジネスの仕組みの中に組み込まれていっている。いくら大企業がしっか
りしたとしてもそこでセキュリティ問題が発生するというリスクを社会的に抱えて
いる。全体的な社会的なリスクをどう分散するかという意味でのSOHOに対する対
策という観点は一方ではある。そういった社会的コストをどう分散するかということ
に対してどう考えるか
• 施策などを行う場合、SOHOにお金を出させるのか?国が出すのか?で大きく変わ
ってくる。SOHOの場合、お金を出す理由がないとお金を出さない。実感がないと
お金を払わない。こういった議論の中で、最終的に落としどころとしてどっちへ向か
うための施策にするかによって考え方が全然かわってくると思う
• 情報セキュリティの定義分けをしてそこに問題が含まれているのは確かだが、SOH
Oにやらせることを重視するならインセンティブがないと動かないから、それをしな
いと仕事が来なくなるとか会社がつぶれるのが確実などがシンプルに目にみえるよ
うにしないと動かない
• SOHOは認定をうけないと仕事を出さないなどのところまでいかないと極端な話
-89-
だが先行投資はできない
• 2005年の情報セキュリティということでいえば個人情報に絞ったほうがむしろ
話しがわかりやすいのではないかと思う
• 必要条件を満たさねば、十分条件があってもしょうがないので、必要条件としてなん
らか教育を受けているなり認定をもっているなりをやらせるということが具体的施
策としてわかりやすいと思う
• こういうことが起こるとこのくらい費用がかかりますよということを例示すること
は大切かもしれない
• 皮膚感覚でわかる情報を出すということ
• 事例みたいなものをいれていかないとわかりにくいかもしれない
そういう情報は今、体系化されているか
• されていない。計算していないケースが多い。保険を掛けておいてノートパソコンの
盗難にあったやウィルス被害はわかるが、ハッキングなどについては、ほとんどゼロ
に近い
• 大手になれば表にださないので氷山の一角になってしまう
• 被害額と発生頻度というと被害額がわからないために実感値が薄れてしまっている
のかもしれない
• 世の中に実態がきちっと伝えられえていないがゆえにブラックボックスになってお
り、大変そうだけどという中で実感値がない、自分には関係ないという世界になって
しまっている
• SOHOだけでなく、大企業も計算していない。金額換算しているという例がほとん
どない
• 数値化してみせてあげるのは大切である
どう必要性をもってもらうか(ex.被害額や資格がないと仕事がこないなど)必要性を
もってもらい意識をもってもらうかというところを入り口として、ここをクリアした
ら、セキュリティをどうやってわかりやすく教えてあげるか、どこまでやらねばなら
ないかという具体的な解決に入っていけるので、まず必要性をどうやってだしていく
かが必要なのかなと思った
(3)ポイント
• 本日は、問題解決策をまとめていくうえでの方向性の議論を行った。SOHOに現実
問題としてうけとめてもらうには、被害の実態が公になって、担保や付加価値を整理
することが大事だということが議論の中で浮かび上がってきた
-90-
• セキュリティの定義とそれに対する必要性をどう理解させるか
• ガイドラインを提示し、教育とどう結び付けていくか、また、資格で担保していく仕
組みなどが必要ではないか
• SOHO事業者の場合、体力がないところなので、セキュリティ対策へのメリットの
見せ方次第で、費用は出さないだろうし、対策もとらないだろう
• そのような中で、国はどうするかという観点が必要であり、そのコストを社会的にど
こが負担するかの視点も必要である
第 2 回研究会総括
グループインタビュー結果と前回の Web アンケート結果より、問題解決策をまとめていく
上での方向性の議論を行った。情報セキュリティ対策の必要をSOHO事業者に対してど
のように啓蒙し、どのような仕組みで浸透させていくべきかについても言及し、実感とし
て受け止めてもらうには、被害実態が公になり、付加価値や担保となるものを整理するこ
とも大事であると議論された。その上で、対策を立てていくための観点として「発生頻度
と想定被害の大きさからの視点」「企業防衛と投資の視点」の 2 つが挙がった。
-91-
③ 第3回議事録
1.議事:今後必要な技術の検討
(1)検討内容の整理
• 情報セキュリテイに対し、データのことしか考えていないが、必ずしもデータばかり
ではない。つまりは技術ばかりに頼っても限界がある。技術は外に対しては有効だが、
内に対しては必ずしも有効ではない
• 「防衛と投資」は外からと内からにさらにわけられるのではないかと思う
• 外部からについては、対策としてはそれほど難しくない。極端な話、バックアップを
とっておけばリカバリーがきくので良い。ことが大きくなるのは内部から情報が漏れ
るということで、こちらのほうが重要。投資とリンクさせてどうかと考えた場合、限
度がないのではないか。お金をかければいくらでもかけられる。どこらへんで投資を
妥協するか。内部情報を外にもっていくほうがSOHO事業者には問題かと思う
• ロギングさえとっておけば良いという流れになってきている。漏洩・アタック対策と
してロギングという方法は1つの効果のある対策として技術面では検討すべき点と
してあるかと思う
• CIAが言う3つの要素にプラス「アカウンタビリティ」が対策として効果的である
と言われている。CIAの要素を丈夫にする。どういうログをとるのかというのも考
えていく必要がある。入退室の記録など
• モラルや意識をどうもたせるかが大本であると思う。SOHO事業者は一般的に認識
がない人もいるのが現状。そういう人を含めセキュリティを考えねばならない。情報
発信しているところがもっと核となり、意識をあげていくために、自己診断などを行
い、間違っているところを正してあげることがまず必要。その上で、事業にあった対
策としての技術などがでてくる。まずは、情報発信サイトなどを作り、その中でガイ
ドラインを示すといった核を作ることが必要である
• 意識をもってもらうだけで違う。これをやっては良い・悪いをわかりやすく見せてあ
げることである。どう伝えるか。オンラインとオフラインの部分で、それぞれに示し
広め考えてもらうと良い
• まず、自己診断させるのは良いことである。自分を知り、何が足りないのかを把握で
きる。それを補足するためのガイドラインがあるという流れが良いのではないか
• 技術レベルが高い人も、情報セキュリティには必ずしも結びつかないのが実情。知識
は耳には入っているけれど実際やる時のハードル(費用の問題など)がかなりある
• チェックするものがない。チェックするものがないからやらないというのはある。強
-92-
制的なものがないとなかなかスタートしにくいかなと実感している
• SOHOに限ると内より外のほうが危険が大きいと思う。内には人が少ない、技術レ
ベルが高くないため内から物を取りどこかへ持っていくということを全員が知って
いるわけでない、設備環境もまだまだである。それより盗難・オフィスの中の無線 LAN
にセキュリティ対策をしていない・ウィルス対策をしてないなどの方が危険性が高い
と思われる。ITスキルの低さ・環境が整っていない・人が少ないことがあるので外
からの危険性の方がSOHO事業者にははるかに高いと思う
• 一般的な企業として、内の財産価値が高い場合は内の危険性のほうが高いが、SOH
O事業者の場合、内の財産よりも、外からウィルスがきてパソコンが止まり、仕事が
来なくなるという危険性の方がはるかに高い
• 今のレベルでは外の危険性に対する教育を、外的なものに対する情報セキュリティを
守ることをまず第一にしてあげる方が良い気がする
• インターネットセキュリテイー対策の講座を行うにあたり、何が求められているかを
調査したところ、ウィルスメールや迷惑メールの対処方法、それらメールを見分ける
方法、削除方法、バックアップのとり方などが上がり、こういうことを学習できる場
が求められていた
• ①限られた人の中だけでやっているSOHO②外と内の中間ぐらいに人を抱えてい
るSOHOの2種類に分けられるようである。それにより対策の立て方は変わってく
る
• グレーゾーンが広く、純粋な外と内という部分は以外と小さい気がする
• グレーゾーンをどのように見て、どのように対策を考えるかでいけば、内とか外とか
と言わなくてもということになるのかもしれない
• パッケージで、内は管理できる人と出来ない人の区別。管理しようと思えば出来る人
は内となる
• オフィス盗難にあって持っていかれるのは外。そういう観点でいうと外か内かでいう
と外になる
• 出入りが多いと内か外か区別がつきにくい(盗難でも)
• 信用問題へつながった場合が一番怖い。会社の存続につながるのが、外部からよりも
怖い
• 外と内の線引きをどう考えるかというのは重要な問題である。SOHO事業者のおか
れている環境によっても異なってくる。大手企業に関わっているSOHO事業者は、
大手企業側の認識としてそこまでを内とみるかどうか、そこの判断をどうするか。S
OHO事業者側からみると明らかに外だが、線の引き方で考え方が大きく異なる
• 外か内という線引きよりも、SOHOの事業形態から考えると、リスクを考えたとき
にどうしたらよいかが重要である。何をして良いか何をしたらいけないのかの認識か
-93-
らはいっていくべき。結果、内か外かという話にはなると思うが、その人にとって内
か外かであるので、その人に判断してもらえばいい。
• 他で起きたことを自分に当てはめたほうが良いと伝えている。自分が経験することは
非常に少ない(もしかしたら一生あわないかもしれない)
(2)技術支援について
• ガイドラインを利用する人のITレベルにより「やっている」という言葉の意味合い
がかわってくるので、その辺りのレベルがブレないようにするにはどうやればよいか
• 簡単なセキュリティ方法を書いておいて、それをわかっているいないを知ることから
始めるのも良いかもしれない。ただ、1から作ると大変なので、用語集などへリンク
をはったり、これを行う前のプレテストのようなものを作成するという仕組みづくり
も良い
• 細かく説明を書くと長くなってしまい、シンプルにまとめようとすると言葉が抽象的
になってしまう
• 例を出す必要があるのではないか
• 怖さをわかっていないと、「読みました。で?」ということになってしまう
• 知識のレベルの問題によりガイドライン作成が複雑である
• 下のレベルではなく、まずエージェントの人たちを教育する必要がある
• まずせめて真ん中(定義づけが難しいが)あたりにおいてあげる
• 「実は自動的に仕組みとして組み込まれており、やってあった」ということがあると
思う。その辺りを、これに入る前に上手くナビゲートして仕分けてあげるような、使
用環境によってある程度絞れる気はする
• 手前の段階で環境が聞けて、質問内容が変えられるものを作れると良いが大変である
SOHO事業者に対象を絞り、活用する技術をどこまでの視野で捉えた方がよいか
• ISPにまかせると関係ないということになってしまう。その辺りは、どうしたらよ
いか
• 細かくすると長くなる。シンプルにするとわかりにくくなる点が困っている
• ある程度レベルをあげてもらわないと対策はとれないかと思う。まずは、どういうこ
とをやったら怖いのだということをある程度勉強してもらわないと対策がとれない
のではないかと思う
• 小さな会社の方で、聞いたことだけ教えてくれれば良い。余計な知識は必要ないとい
う人が多い
• お金をだして楽するか。お金を出さない代わりに勉強してもらうかをわかってもらい
たい
• メンテナンスが必要なものがある。一回構築してしまえば終わりであればわかりやす
-94-
いが、更新に関しては、それっきりというパターンが多くなってしまう。顧客が理解
してくれているとすごく話を進めやすいので、啓蒙的なものなど理解させるものがあ
ると進めやすい
• SOHOネットワークのような形で、エリアごとに、普段は自分の仕事をもっている
知識のある人たちがビジネスとして行えないか
• ただ、トラブルが起きるときはまとまっておきる
• メーカーの責任をもっと追及すべき。使いやすいさをもっと訴えないと
• むしろ、どうやって彼らの力をひっぱりだすべきか?というほうが賢明であると思う
• 自分のラインを知ることも大事だが、まず、やるべきことをやらせちゃう必要がある
• これをやりましょうといって選択の余地なくパッケージ化してしまう方が初心者の
人にはつきる
• 言葉ぐらいは知って欲しい。知っていないと、他の人に被害をかけてしまうし、対策
もできない
• SOHOにもMacユーザーもいる
• デザイン関係はMacを使用している。SOHO事業者は個人的にパソコンを選択で
きるのでMacユーザーも増えている
• リナックスは専門家が少ないので何かが起きた場合、対応してくれる人がいない状況
になってしまう
• マイナーなOSになればなるほど、カバーしてくれる人がいない
• OSを聞き「XP以外なら、勉強する気があるなら良いが、ないならXPに変えなさ
い」というくらいにした方が良い
• 「なるべく新しいものに変えないと被害が大きくなりますよ」というぐらいはいって
あげたほうが良い
セキュリティ技術の活用ということについてはSOHOの人たちはどうしたらよい
と思うか
• ISPを使いなさいといっている
• 整備を人に任せるか自分でやるかによりリスクが変わってくる。情報セキュリティの
リスクをどう考えるか、まずそこがないと意識してくれないと思う。必要であるとわ
かればお金をかける
セキュリティパッケージにはどのようなものがあったらよいか
• ハードウェアの整備。インフラ面。ルーターを入れる。ファイアーウォール・ウイル
ス対策・紙になったときのセキュリティまではいると思う(キャビネット・シュレッ
-95-
ダーなど)
• パッケージの中の1つに技術が入っていると全体の中の一部ということでSOHO
事業者は受け入れやすいのかもしれない
• 良い意味で危機感をあおり、そこで何をすればよいのかという観点から、サーバーだ
ったら、事務所・家でできることとはというような
• Web 上でクレジット番号を入力するのは恐れるが、クレジット番号を書いてFAXす
ることに抵抗がないような。こういう面の方が怖いと思っている
• リアルの世界とバーチャルの世界を上手く対比させてあげないと理解されにくい
• ISPから入るのは安くできるし、良い
• 自分で何から何までやるよりもそういうところを使うことが良いと思う
第 3 回研究会総括
第3回は、課題解決策から今後必要な技術について検討した。技術については外部から
の攻撃、侵入と内部からの漏洩という観点でSOHO事業に有効と思われる主だった情報
セキュリティ対策技術を整理した。また、技術からは外れるがそれ以外の視点として、ネ
ットワーク以外の人的側面(情報物流における人が介する場面や人が関わる場面)につい
ても議論がされた。 対策のあり方については以下の5つに整理された。
①SOHO向け情報セキュリティについての公的権威のある定義の明確化 ②対策についての公的ガイドラインの設定 ③上記に基づく情報セキュリティの重要性、必要性についての啓蒙、動機付け ④上記に基づく情報セキュリティ教育の仕組みづくり、浸透 ⑤SOHO事業者が情報セキュリティ対策を講じる場合の支援環境、制度、機関の整備
-96-
④ 第4回議事録
1.議事:対策モデルの検討
(1)対策モデルについての検討
• ISPは外向けにはウィルスチェックと迷惑メールフィルタリングサービスぐらい
しかサービスとしてだしているものがなく、大手ISPにはほぼ組み込まれているサ
ービス(有料・無料は別として)で(SOHOがISPを)選びにくい。また、IS
Pは足回りとセットになっているため、必ずしもISP単体では選べないのが現状で
ある。ISPは中身(どのようなOSやサーバーを使っているのか、定期的にパッチ
をあてているかなど)を公開しておらず、見えにくい。ISP評価機関があると、選
択しやすいが。現実的には選択ができない
• 逆の発想で、ISP側に要求する提案書にする必要がある。もっとわかるような仕組
みの提供をと
• ISPの選択は問題の解決を導き出すために、1つの選択として、大きな基本方針と
することができると思われる。SOHOのレベルにもよるが、定義を考える必要もな
く、比較的安い予算で、ウィルスチェックなどを行ってもらえる。ガイドラインにつ
いてもISP側でもっているのではないかという気もする
• まず、SOHO事業者が理解でき、対策をしていくことが大事。「最低でもやらねば
ならないこと、やってはいけないこと」などをパターン化したものを作成し、その後、
相談できるところやFAQを作成し、対応できる形づくりという見せ方は良いのでは
ないか
• ウィルス・スパム対策は最低限。情報が重要になればなるほど、対応する知識判断が
SOHO自身ではしにくくなるので、コンサルタント的仕組みづくりが必要か
• リアルな世界での例えを使った仕組みづくりにしないとわかりにくいかもしれない
• コンサルというワードはSOHOには敷居が高いので、目線を同じにした(有償でも)
相談できるところがあるとSOHOにとってはよい
• 協会などで、年会費の一部をコンサル的なことが行える場所へ支払い、協会会員は、
ベーシック部分は無料、それ以上は有料という仕組みができるとやりやすい感じがす
る
• 公的機関にそういうものはないのか
→中小企業センターにIT相談という窓口はあり、国から補助がでるというものもあ
るが、手続きの面倒さなどもあり上手く回っていない
• 2007年問題があるので、退職者を上手く活用するようにならないかとは思ってい
るのだが
-97-
• 県レベルの来たいときに来てくださいというやり方は相談に行きにくく件数も増え
ない。会員グループの中にそのような相談できるところがあると行きやすいのではな
いか
• 会員グループ制の方が広報は行き届く
• 行くと高額請求されてしまうと思われているのか、時間がないのかがわからないとこ
ろではある
• 個々の意識の問題
• SOHOは、まだ怖さも知らないためセキュリティを1番重要とはしておらず、売上
の方を重要としている。感覚的に大事なものだということをどうわからせることが大
事である
• 体感するということが大事であると思う。ツアーのような形で大企業のセキュリテイ
の実態を感じてもらう必要があるのではないか。企業規模が大きくなるほど(セキュ
リティ対策は末端まで浸透させねばならないため)大変であり、SOHOは敷居が高
いと感じる人もいると思うが、SOHOは規模が小さいのでそれほど大変ではない。
ここの部分をまずやっておけば対策はとれますよ。だからやってみましょうというス
タイルも1つの方法だと思う
• 人を集めることは大変なので、そのようなものを Web で仮想体験ができるようなもの
があると良いのではないか。全国の人が見ることができる。それをやるためにはセキ
ュリティはどの範疇まで考えればよいかなどの考えを整理し、それをカテゴリー(物
理・情報・人間的等)分けし、SOHOがやるべき・社会的に求められている範囲はここ
ですよとレベルごとに見せ、Web 仮想体験につなげられると受け取られやすいのでは
ないか
• 3つ(物理的な部分・ネットワークやシステム部分・人間)ぐらいにわけ、動かなく
ても、こういう事例が起こっているというものを示すだけでも違うかもしれない
• さらに解決してくれる相談機関などもWeb上にのっていると一元管理されているので
良い
• 今後個人情報が施行されると体感が自動的にできるようになるので、タイムリーに対
策をだしてあげると有効である
• 個人情報の利用目的や秘密保持などのテンプレート集が必要になってくるはずであ
る
• (個人情報保護のセミナーは)各論に落ちていないことが多く、実際にやるにはどう
すればよいのかという反応が多い。これらの質問はパターン化できそうである。中で
も、実務レベルで活用できる書類などは必要である
• セミナー時に受ける質問として、サーバールームには鍵をかけねばならないのかとい
う、講師には当たり前のことを当たり前と思っていない人もおり、認識ができていな
-98-
い人もまだまだいるので、SOHO事業者にも目線を低くしないといけないのかなと
思う
• Web 上には用語集はあっても体感できるものはない
• SOHO事業者は(費用負担ができないのなら)
① 自分で勉強してもらうか
② お金を出して専門家にお願いするか
を選ばざる得ないかもしれない。この2つの道をいかに分かりやすく伝え、道を見せ
るだけではSOHO事業者は歩きださないかもしれないので、さらにインセンティブ
か恐怖で前へ押し出すような仕組みが必要で、それらに有用な施策をいくつか提示す
るのが良いかと思う
• 誰でもがもつ基礎レベルはSOHO事業者とは別に必要である
• SOHO事業者が具体的にやることの提示があり、それが見えてこないと(顧客情報
が大事だということは実感しているがじゃあどこまでやれば良いかがわかっていな
いと、やらないということになってしまうと思うので)結局やれないということにな
ってしまう
(2)対策モデル案について
※1
• やる気になるかどうかが一番重要な出発点である。「どういうメリットがあるのか」
(想定されるリスクの前にメリット)を話した方がよいのではないかと思う
• メリットの例:保険の優遇措置がある、セミナーを受けた人への優遇措置など
• お金や時間のかかる資格という大きなものとする前に、協会で認定ぐらいとし、仕事
のしやすい環境やコストメリットのあるものを考えていく必要があるのではないか
と思う
• 具体的には現場の声を聞いて作っていく
※2
• 売る方(ソフト開発・販売・サポート)側として、(使いにくい気がするので)一般
の方が使いやすい商品を出すことが会社の責任である気がしている
• ワンストップで問題を解決できる立場の会社もしくはコンサルタントがこれから必
要になってくると思う
※3
• 教育部分で考えると、SOHO向けのプライバシーマークのような資格を取得した事
業所がセキュリティ教育普及認定部隊となり、国が作ったテンプレート集をつけてセ
-99-
ミナーを行う
• セミナーも内容が重ならないように、予め予想される具体的なQA集を作成分類(個
人向け・企業向けなど)し、本日はこの部分のセミナーですとテーマをピックアップ
し、顧客へ教育を行う
• 同時に、紙媒体のわかりやすいテンプレート集を一緒に販売したり、相談窓口や Web
の宣伝をすると、個々にやるよりも小さな力がまとまり大きな力になるかと思う
• ネットワークをもつ事業体をまきこみ、教育と商品開発と販売が一度にできる仕組み
※4
• ①自分で勉強する道をきれいに整備してあげる施策を作ってあげる
• ②人に頼る場合、どうやって頼ったらよいかという道を作ってあげる
• ③後押しとしてインセンティブや恐怖(今やっている仕事がなくなるよなど)でそれ
ぞれの道へいかせる仕組みを作る
• これら3つを上手くまわすことが大事だが、まず、何もしない状況から動かすために
は③の後押しが1番大事
• 動きださないとはじまらないので、いかにやろうと思わせるかという施策が必要
※5
• SOHO事業者という観点から考えると
① SOHOがまず知ること(例:体験や理念やガイドラインなど)
② どう知ってもらい、どう考えて貰うか?(リスクやメリット、自己診断テスト・
相談機関)
③ 実行時にはどのような対応策があるか?(教育・テンプレート・認定施策・相
談機関
④ 見直し(監査・自己診断テスト)
• これらステップを踏みモデルをつくっていければよいのではないか
• 懸念としては、資格という仕組みで広げるのはいいが、「取得すれば終わり」になら
ないようにしたい
• 資格取得は結果であり、取得に至るまでの考えるプロセスを見落として欲しくない
(3)最後に
• 様々なところに情報があるので、その情報にどのような価値があるのかという認識を
もつことからはじめ、それをどう守るのかという2段階で考えていくことになる
• 情報の重要性をどう周知していくか
• 皆が考えて行かねばならない部分と、アウトソースしてすむ部分など、それぞれにア
ドバイスができるようにしておきたい。同時に、自分自身で考えられるものがもっと
-100-
あるということを見せてあげるのも必要である。
• バーチャルとリアルの世界はあまり変わらない。それほど考えなくてもできるものも
かなりあるという認識をもってもらうことが重要である
• 自分たちがもっている情報を守ることにより、顧客に安心感を与えるかということで
ある
第 4回研究会総括
これまで3回にわたって行ってきた議論を整理し、対策モデルの検討を行い以下2つ
に整理された。
①SOHO事業者向けセキュリティガイドライン普及のための資格認定・教育、対策支
援制度 ②Web によるSOHO事業者向け簡易情報セキュリティ診断及び動機付けサービスの構
築(SOHO事業者向け情報セキュリティ対策のためのポータルサイトでのネットワ
ーク構築)
-101-
参考資料 ①
『SOHO向け情報セキュリティ対策 支援について』
-102-
SOHO向け情報セキュリティ対策 支援について
実施すべきポイント
SOHO事業者の中で、情報セキュリティ意識の低い人に対して、下記を検討する。 1. いかに情報セキュリティの必要性を持ってもらうか 2. どのように情報セキュリティの知識を得てもらうか 3. いかにわかりやすく自社に情報セキュリティ対策をしてもらうか
1. 情報セキュリティの必要性を訴える
1. 情報セキュリティ知識テストの作成
情報セキュリティの基本レベルの知識テスト。個人ベースの情報セキュリティの基本問題を
出題。合格すれば、一定レベルの情報セキュリティ知識があるとのインセンティブが得られる。
会社でも、社員に勉強してもらい、その成果としてこのテストを受けてもらう。会社も社員
すべてがこれに合格していれば、情報セキュリティ意識の高い会社とのインセンティブが得ら
れる。
簡易なセルフテストにするか、正式なテストとして資格にするか。
2. 情報セキュリティ軽視の恐怖
情報漏洩の恐怖:被害額、企業信頼の低下、デジタルデータは永遠 ウイルス対策無視の恐怖:ウイルスに感染したら、PC が起動できなくなる、自分のメールア
ドレスリストの人にウイルスがばら撒かれるなど
2. 情報セキュリティの知識を与える
1. 情報セキュリティについて、個人・SOHO向けに優しく解説してあるサイトの紹介
既に、良いサイトがあるので、リンクとその説明程度で良い? リンクの仕方(いかにその人のレベルに合った情報を見せることが出来るか)が大事
3. SOHO向け情報セキュリティ対策
1. SOHO向け情報セキュリティガイドラインの作成
SOHOに必要な情報セキュリティのチェックリストを作成(重要度、緊急度の高いものか
らリストにする。上から最低限必要なライン、なるべく必要なライン、を設定しておく。) どんなことをどの程度まで対策すればよいかの指針となるようなガイドラインにする。 SOHO事業者がこの情報セキュリティガイドラインに準じてセキュリティ対策を実施して
いることがインセンティブとなる。(自己申告程度だが、実施していることを契約書に盛り込む
などすれば、一定の役割をはたす) 以上を念頭に、 SOHO向け 情報セキュリティWebサイト
を検討してみた。(分かりやすく、短く、対話形式で) (*研究会参加者である 小杉史郎氏が参考資料として作成)
-103-
参考資料 ②
『SOHO向け情報セキュリティ Webサイトコンテンツ案』
-104-
SOHO向け情報セキュリティ Webサイトコンテンツ案
情報セキュリティってどういうこと?
→会社の(個人の)情報資産を守ること です。 情報資産って何?
→会社で(個人で)持っている重要な情報のことです。 顧客情報や仕事上外部に漏らしてはいけない情報など、会社によっても異なります。
その情報資産が守れないとどうなるの?うちみたい小さな会社は関係ないでしょ?
→ウイルスに感染して情報資産が使えなくなったり、個人情報が漏洩すれば顧客から訴え
られることもあります。例え、自分では問題ないと思っても、取引先や顧客にとっては大
変な問題になります。例えば、情報漏洩やウイルス感染の復旧の費用にこれだけのお金が
かかります。 でも、普通にしていれば情報が漏れたり、ウイルスに感染しないのでは?
→インターネット上にはコンピューターウイルスが飛び交っています。ウイルス対策をし
ていないコンピューターに無作為に感染し、コンピューターを使えなくしたり、コンピュ
ーターにある情報をばら撒くこともあります。 また、不注意やちょっとしたことが、情報の漏洩に繋がります。 情報セキュリティについて少し知識があり、少しの対策を行なえばこの様な恐れが大幅に
低減出来るのです。 勉強するにも、難しいのはちょっと。時間もお金もあまりかけたくないし...
→分かりやすい「個人・SOHOの向けの情報セキュリティ学習サイト」があります。 SOHO向けに勉強会、個別相談会も各所で開かれています。 ・・・・・協会 (詳しくはHPを参照ください) なるほど。これなら出来るかな。
でも、どの程度やらなくちゃいけないの?続けられるかな?
→情報セキュリティ対策の習熟度がわかる「情報セキュリティ基本テスト」があります。 合格したら、顧客に対しても情報セキュリティが分かっている人として売り込めますよ。
だいたい情報セキュリティ対策の内容と重要さは分かってきたけど、自分の会社で実際に何をどこ
まですればいいのか...
→「SOHO向けセキュリティガイドライン」を参照してください。
このガイドラインは、SOHO向けに重要度の高いものから、対策すべき項目が並んで
います。順番にチェックして、チェックが付けられなかったものを順番に対策していけば、
セキュリティ対策は万全です。 自社がSOHO向け情報セキュリティガイドラインに準じていることを顧客に説明でき
ます。
-105-
参考資料 ③
『SOHO向け情報セキュリティ基本テストについて』
-106-
SOHO向け情報セキュリティ基本テスト
情報セキュリティに関する簡単なテスト(選択式)をサイト上で実施する。回答をチェック
し、最後に送信ボタンを押すと、その場で点数と合否が表示される。(メールで通知も) (内容としては、個人として知っておくべき情報セキュリティ。情報管理者用には別に必要?) テスト問題はサーバ側には 1000 問程度蓄えておき、テストを実施するたびにランダムに問
題が選ばれる。テストは、20分、30問四択式、25問正解で合格、簡単な問題中心。 間違えた問題は、正解と解説が出てくる。合っている問題もクリックすれば解説が出てくる。 どの程度までテストとしての権威を持たすか ① 簡易版:セルフチェックテストの位置づけ
インターネット上でテストを公開し、無料でいつでも誰でも出来るように ・どの程度まで理解しているかを自分でチェックする ・このテストを受けて合格したことがインセンティブとなる(ただし自己申告となる) ・取引契約時にこのテストを目の前で受けてもらう
② 正式版:資格試験の位置づけ 各種検定(ベンダー試験等)のようにいつでも申し込めば(数日後には)受験できるよう
に ・テストの合格がインセンティブになる ・受験者の費用・手間の問題、この仕組みを作る側の費用等の問題
Q01:コンピューターウイルスに感染したのがわかったら、まずしなくてはいけないことは?
〇警察へ電話をする
〇感染したパソコンをネットワークから外す
〇大事なデータをFDやMO、CD-Rなどにコピーする
〇パソコンを分解してハードディスクを取り出す
Q10:データをバックアップするのに良い方法は次のうちどの方法ですか?
〇毎日パソコンのすべてのデータを外部のハードディスクに保存する
〇毎日外部のメディアに更新したファイルをコピーする
〇毎日更新したファイルをプリントアウトしておく
〇毎日同じパソコンのバックアップ用フォルダに更新したファイルをコピーしておく
問題は全部で30問あります。前ページ、次ページを押して全問回答したら、終了ボタンを押してください
終了次ページ前ページ
開始時刻:xx:xx終了まであと ○○分です
情報セキュリティ基本テスト画面例
・・・
-107-
参考資料 ④
『SOHO向け情報セキュリティガイドライン作成にあたって』
-108-
SOHO向け情報セキュリティガイドライン作成にあたって
ガイドラインの概要
SOHOが対策すべき情報セキュリティ対策を重要度の高いものから順に並べる。 対策しなくてはいけないこと、対策したほうが良いことの境目を明示し、セキュリティ対策
の指標となるように。 (この順位付けと、しなくてはいけないこと、したほうが良いことの判断が難しい) 対策すべきセキュリティ対策の横に「詳細」ボタンを設け、具体的にどのようなことか、事
例を含めた解説を行なう。 定期的なガイドラインの見直し(内容、重要度含め)が必要。
ガイドラインの利用の前に:情報資産の洗い出し
ガイドラインを利用する前に、自社の情報資産の洗い出しを行なう。デジタルデータだけで
なく、アナログデータも含めて。 また、洗い出した情報資産に重要度をつける必要もある? (対策すべき内容については? 漏洩対策が必要なものとバックアップが必要なもの など) この情報資産に対して、セキュリティ対策を実施することになるので、この作業が前提にな
る。
ガイドラインの利用
ガイドラインの利用者は、ガイドラインの上から、その対策が自社でなされているかチェッ
クを行なう。対策が行なわれていないところはチェックをせず、一通り「対策しなくてはいけ
ない項目」すべてを見る。項目が理解できないものや分かりにくいものは「詳細」画面で確認
する。 チェックされなかった項目を上から順に実施する。このときも「詳細」画面を利用する。 取引業者は、このガイドラインを満たしていることがインセンティブとなる。(ただし自己
申告。縛りを付けるなら契約書などに嘘がないか等を盛り込む、あるいはガイドラインの項目
に沿ってヒアリングを実施し、状況を確認する) 一度のチェックで終わることなく、定期的なチェックが必要。
ガイドラインの適用範囲:SOHO向け
・ 自社でインターネット公開サーバを管理しているSOHOは除く →公開サーバの管理は一般的なSOHOはタッチしていない。これを含めるとガイド
ラインが複雑になる。 ・ 情報セキュリティポリシー等の規定文書の作成は必須項目としない
→規定文書管理は一般的なSOHOではまだ実施していない。これを含めるとSOH
Oには荷が重い。 その他
自社でガイドラインに沿って対策が実施できない事業者に対して →情報セキュリティコンサルタントの派遣を公費で一部補助などの検討
・ 項目の過不足 ・ 項目の優先順位(特に必須項目か、した方が良い項目か)
-109-
参考資料 ⑤
『Web アンケート全質問項目』
-110-
質問 1: 企業内あるいはSOHOなどのビジネスシーンにおける「ネットワークセキュリ
ティ」とは、どのような内容のものを指すとお考えですか。 「ネットワークセキュリティ」
という言葉そのものから思い浮かぶ内容をご自由にお書きください。
質問 2: 最近、不正アクセスによる情報改ざん等の事件が発生していますが、御社の「I
Tネットワークセキュリティ体制」の状況について、最も近いものをお選びください。
選択肢
すでに対策をとっている
今後対策をとっていこうと検討している
今後も対策をとる予定はない
質問 3: あなたは、御社で将来起き得るネットワークセキュリティ事故・トラブルについ
て、不安を感じますか。
選択肢
不安を感じる
不安を感じない
わからない
質問 4: 質問 3で不安を感じるという方にお伺いします。不安の内容を具体的にお答えく
ださい。(自由回答)
質問 5: 「ネットワークセキュリティ」に関して、最も多くの情報を入手する方法をひと
つだけお選びください。
選択肢
新聞・雑誌
友人・知人から
ホームページ
プロバイダー等からのニュースメール
テレビ
「ネットワークセキュリティ」に関する情報入手はしていない
その他
-111-
質問 6: 御社では、内部者による情報漏えいの危険性はあると思いますか。
選択肢
情報漏えいの危険性はあると思う
情報漏えいの危険性はないと思う
分からない
質問 7: 質問 6で「情報漏えいの危険性はあると思う」とお答えの方にお伺いします。 具
体的な対策として実施しているものをすべてお選びください。(いくつでも)
選択肢(複数回答)
ノートPC等の持ち出し禁止
書類の持ち出し禁止
メールの監視
フロッピーディスクなどの記録媒体の持ち出し禁止
従業員に対する教育
その他
危険性は認識しているが、具体的に考えていない
質問 8: ネットワークセキュリティ管理をする際の問題点は何だとお考えですか。以下の
中からあてはまると思うものをすべてお選びください。(いくつでも)
選択肢(複数回答)
知識・ノウハウがないこと
費用がかかること
どこまでやればよいか、分からない
相談先が分からない
従業員の意識の統一
分からない
その他
問題点は特にない
-112-
質問 9: 万が一、御社のPCに「ウイルス感染」または「セキュリティ上のトラブル」が
発生した場合、その責任についてどのようにお考えですか。以下の中から最もあてはまる
と思うものをひとつだけお選びください。
選択肢
経営者の責任であると思う
プロバイダーの責任であると思う
メール等でウイルスを送ってきた人の責任であると思う
誰の責任でもないと思う
分からない
その他
質問 10: あなたは、組織の情報セキュリティに対するルール、要件を文章化した規則集
である 「セキュリティーポリシー」とは具体的にどんなものかご存知ですか。
選択肢
どんなものなのか、その内容まで理解している
言葉は聞いたことはあるが内容まではよく分からない
全く聞いたことがない
質問 11: 質問 10で「どんなものなのか、その内容まで理解している」とお答えの方にお
伺いします 御社では「セキュリティポリシー」を策定していますか。
選択肢
既に策定している
策定作業中
策定を検討中
策定しておらず、今後も策定する予定はない
策定しているかどうか分からない
-113-
質問 12: 質問 11 で「策定しておらず、今後も策定する予定はない」とお答えの方にお伺
いします。その理由は何ですか。以下の中からあてはまるものをすべてお選びください。(い
くつでも)
選択肢(複数回答)
知識やノウハウがないから
予算がないから
自社の規模では、必要性を感じない
セキュリティ上の問題が生じる心配がない
その他
質問 13: 2005年4月から個人情報を取得し、取り扱っている事業者に対し様々な義務
と対応を定めた 個人情報保護法が施行されますが、あなたはこの法律をご存知ですか。
選択肢
よく知っている
聞いたことはあるが内容まではよくわからない
まったく聞いたことはない
質問 14: 御社のPCネットワーク環境において、これまでに「セキュリティに関する事
故・トラブル」 が発生したことがありますか。
選択肢
セキュリティに関する事故・トラブルが発生したことがある
セキュリティに関する事故・トラブルが発生したことはない
分からない
-114-
質問 15: 質問 14 で「セキュリティに関する事故・トラブルが発生したことがある」と
お答えの方にお伺いします。 発生した「セキュリティ事故・トラブル」はどのようなもの
ですか。以下の中からあてはまるものをすべてお選びください。(いくつでも)
選択肢(複数回答)
ウィルス・ワーム感染
スパムメールの中継利用・踏み台
ホームページの改ざん
故意・過失による情報漏えい
内部者による不正アクセス
パスワードの盗用
その他
質問 16: 質問 14 で「セキュリティに関する事故・トラブルが発生したことがある」とお
答えの方にお伺いします。復旧にあたってどこに相談しましたか。以下の中からあてはま
るものをすべてお選びください。(いくつでも)
選択肢(複数回答)
購入先のメーカーやベンダー等に相談した
契約しているプロバイダに相談した
公的機関に相談した
コンピュータに詳しい知人・友人に相談した
社内で対応できた
その他
-115-
質問 17: 御社では、PCネットワーク環境における「セキュリティ管理者」を設けてい
ますか。
選択肢
特別に管理者を設けている
特別な管理者はいないが、業務的なリーダーが管理している
各自が個別に対応している
社外のパートナーや友人に頼んでいる
「セキュリティ管理者」は特に決めていない
質問 18: 御社では、社内PCの不正利用を防ぐために、どのような対策をしていますか。
以下の中からあてはまるものをすべてお選びください。(いくつでも)
選択肢(複数回答)
起動時にパスワードを設定している
顔や声紋、瞳の虹彩による個人認証システムの導入
使用者各自で管理
その他
特に何もしていない
質問 19: 御社では、インターネットを利用するにあたり、サーバーをどのように運用し
ていますか。
選択肢
自社内でサーバーを設置、運営している
プロバイダーのみ利用している
レンタルサーバーを利用している
分からない
-116-
質問 20: 質問 19 で「プロバイダーのみ利用している」「レンタルサーバーを利用してい
る」とお答えの方にお伺いします。業者を選定するにあたり、「セキュリティ面」をどの程
度考慮していますか。
選択肢
最優先している
セキュリティの最低条件だけは考慮している
一応確認している程度であまり考慮していない
全く考慮していない
質問 21: 以前よりも悪質なウィルスによる被害が増えていますが、御社では 「ウィルス
被害を防止するための対策」をしていますか。
選択肢
既に対応済み
現在対応を進めている最中
対応の必要性は感じているが、現在は何もしていない
対応の必要性は感じず、今後対応する予定もない
分からない
質問 22: 質問 21 で「既に対応済み」とお答えの方にお伺いします。「ウィルス被害を防
止するための対策」とは具体的にどのような内容ですか。以下の中からあてはまるものを
すべてお選びください。(いくつでも)
選択肢(複数回答)
PCにアンチウィルスソフトを導入
ウィルス定義ファイルの自動更新
セキュリティパッチの更新
利用しているサーバ(プロバイダー)のウィルスチェックサービスを利用
添付ファイルを不用意に開かないように社内で徹底している
フリーソフトのインストールを制限
インターネットからダウンロード禁止
ファイアーウォール用ハード・ソフトの導入
-117-
質問 23: 質問 21 で「対応の必要性は感じているが、現在は何もしていない」とお答え
の方にお伺いします。「何もしていない」最大の理由は何ですか。以下の中から最もあては
まるものをひとつだけお選びください。
選択肢
知識・ノウハウがない
予算がない
現状の業務では必要ないから
面倒だから
自分が被害にあっていないから
その他
質問 25: 御社では、機密事項を取扱う上での「社内ルール」はありますか。
選択肢
「社内ルール」がある
「社内ルール」がないので、現在検討している
「社内ルール」はないし、特に検討もしていない
質問 26: インターネットを経由して外部とのデータのやりとりをする際、通信の機密保
持のために 「暗号化」を実施していますか。
選択肢
全てのデータに対して「暗号化」を実施している
機密性の高いもののみ、実施してる
現在実施していないが、今後実施する予定
現在実施しておらず、今後も実施する予定はない
-118-
質問 27: 御社では、従業員に対して「情報セキュリティ教育」を実施していますか。
選択肢
既に「情報セキュリティ教育」を実施している
「情報セキュリティ教育」は現在実施していないが、今後実施する予定
「情報セキュリティ教育」を実施していないし、今後も実施する予定はない
質問 28: 質問 27 で「情報セキュリティ教育を実施していないし、今後も実施する予定
はない」とお答えの方にお伺いします。情報セキュリティ教育」を実施していない最大の
理由は何ですか。以下の中から最もあてはまるものをひとつだけお選びください。
選択肢
他の業務で多忙
予算がない
知識・ノウハウがない
適切な教材がない
効果が期待できない
必要性を感じない
質問 29: 質問 27 で「既に情報セキュリティ教育を実施している」とお答えの方にお伺
いします。御社の従業員を対象に実施している「情報セキュリティ教育」のテーマは何で
すか。以下の中からあてはまるものをすべてお選びください。(いくつでも)
選択肢(複数回答)
「セキュリティに対する自社の制度」について
「セキュリティ事故」の具体的な実例
「セキュリティ事故」が発生したときの対処方法
パスワードルール
データのバックアップ方法
個人情報保護に関する自社ルール
社員のプライバシーに関する取り決め
その他
-119-
質問 30: 御社では「PCネットワークセキュリティ」に関して、年間でどのくらいの費
用をかけていますか。
選択肢
1万円未満
約1万円以上~5万円未満
約5万円以上~10万円未満
約10万円以上~20万円未満
約20万円以上~30万円未満
30万円以上
わからない
質問 31: 御社での、年間の「PCネットワークセキュリティ費用」について、どのよう
に思いますか。
選択肢
妥当である
予算があれば増やしたい
もっと抑えたい
分からない
質問 32: 業務を受託するにあたり、受託先から「セキュリティ環境」について何か要求
を受けたことがありますか。
選択肢
「セキュリティ環境」について要求を受けたことがある
「セキュリティ環境」について要求を受けたことはない
わからない
質問 33: 質問 32 で「要求を受けたことがある」と回答された方にお伺いいたします。要
求の具体的な内容をお答えください(自由回答)
-120-
質問 34: 今後、お勤め先で「情報セキュリティへの対策」を進める上で、政府や自治体
に望むことはありますか。以下の中からあてはまると思うものをすべてお選びください。
(いくつでも)
選択肢(複数回答)
セキュリティトラブルを取り締まる法制度の整備
セキュリティサービス利用の助成
機器・ソフト購入の助成
情報セキュリティに関するセミナー等の実施
情報セキュリティに関する情報提供
社員教育への助成
その他
特にない
質問 35: あなたの会社の従業員数の人数を以下の中からお選び下さい。 ※アルバイト・
パートを含めてお考えください。
選択肢
個人(あなたご自身のみ)
2~4人
5~10人
-121-
質問 36: あなたの会社の中で主要となる業種について、以下の中からあてはまるものを
お選び下さい。
選択肢
Web 制作・デジタルコンテンツ制作
システム開発・プログラミング
インターネットサービス
CG・ゲーム・ソフト開発
出版・編集・作家・ライター
デザイン・写真・イラスト
音楽・アート・芸能関係
放送・映像・演劇
マーケティング・調査・企画
広告・広報
コンサルティング
ショップ・流通・貿易
販売・代理店
建設・環境・インテリア・設計
経営・総務・法律・人事・福利厚生
金融・会計・税務・保険
教育・医療・福祉・健康・NPO
旅行・アミューズメント
技術開発・製造加工
その他
質問 37: あなたの会社でのパソコンの保有台数をお教えください。
質問 38: 会社のパソコンのうち、インターネットに接続できるパソコンは何台あります
質問 39: あなたご自身の年間の総所得金額をお聞かせください。
-122-
質問 40: あなたのお勤め先の会社歴、または事業歴をお聞かせください。
質問 41: お勤め先では、インターネットをどのような回線で利用されていますか。
選択肢
電話(アナログ)回線によるダイアルアップ
ISDN回線によるダイアルアップ
ISDN回線による常時接続(フレッツ・ISDN)
ADSL回線
CATV(ケーブルテレビ)回線
光ファイバー回線
分からない
その他
質問 42: お勤め先での、ご自身と「PCネットワーク環境」関連業務との関わりについ
てお聞かせください。
選択肢
PCネットワーク環境についての決定権がある
PCネットワーク環境については自身が担当しているが、決定権はない
PCネットワーク環境についての担当ではないし決定権もない
その他
質問 43: あなたご自身の性別をお知らせください。
質問 44: あなたご自身の年齢をお知らせください。
-123-
[参考文献]
※ 「インターネット・セキュリティ」黒田豊(丸善株式会社)平成9年
※ 「情報セキュリティ技術」松本隆明・岡本龍明(オーム社)平成 12年
※ 「SOHO白書」SOHOシンクタンク(同友館)2002 年
※ 「体系的に学び直すネットワークセキュリティ」神崎洋治・西井美鷹(日経BPソフ
トプレス)2002 年
※ 「図解入門 よくわかる最新ネットワークセキュリティの基本と仕組み」佐々木耕三
(秀和システム)2002 年
※ 「経営課題としての情報セキュリティ入門」岸田明(ソフトバンク パブリッシング)
2003 年
※ 「情報セキュリティ辞典」土居範久監修(共立出版)2003 年
※ 「情報セキュリティ読本」独立行政法人情報処理推進機構(実教出版)2004 年
※ 「事例で学ぶ情報セキュリティ」岸田明監修(FOM出版)2004 年
※ 「【図解】企業を危機から守る クライシス・コミュニケーションが見る見るわかる」
東京商工会議所編(サンマーク出版)2004 年
SOHO事業者における情報セキュリティ対策の調査研究報告書
本報告書の無断転載を禁止します。
平成17年3月 財団法人マルチメディア振興センター
〒106-0041 東京都港区麻布台 1-11-10 日総 22 ビル 5F Tel 03-3583-5808 Fax 03-3583-5813
http://www.fmmc.or.jp/
