この調査は、2017年11月~2018年1月にかけて国内の中堅企業(従業員100名以上1,000名未満)の顧客700社以上を対象に実施した。調査により、最新の中堅企業を取り巻くIT環境の状況を把握し、中堅企業向けサービスのさらなる向上を目指すという。
主な調査結果
1.「ひとり情シス」や「ゼロ情シス」化が進み、IT人材不足がさらに深刻化
中堅企業の31%が情報システム担当者1名以下の体制(14%が「ひとり情シス」、17%が「ゼロ情シス(IT専任担当者なし)」)で運営。昨年の調査結果の27%と比較すると、1年で4ポイントも上昇し、年々、確実にIT人材不足が深刻化。また、従業員数を増加予定の企業は48%である一方で、IT人材を増加予定の企業は15%に留まる結果から、端末管理をはじめとした情報システム担当業務の負荷が高止まりする企業がさらに増加しているといえる。
2. 30%以上の中堅企業が直近3年間にセキュリティ事故の被害に
中堅企業の30.2%が直近3年間にセキュリティ事故の被害を受けている。特に、昨今話題になっているランサムウェアによる被害は大企業だけのものでなく、中堅企業にも広がっており、中堅企業の18.6%が被害にあっている状況。その他、ハードウェア紛失や設定不備による情報漏えい、フィッシング詐欺、ウェブサイトの改ざんなどがセキュリティ事故の項目としてあがる。
3. IPAガイドラインの準拠は4%、CSIRT活動は1.5%のみでセキュリティ対策の遅れが露呈
多くの中堅企業がセキュリティ事故の被害を受けている一方で、セキュリティ対策の活動が進んでいないのが実態。IPA「中小企業の情報セキュリティ対策ガイドライン」に準拠している中堅企業は4%であり、昨年度の3%から微増しているもののまだまだ十分とは言えない。また、CSIRT活動は1.5%(社外セキュリティチームの加盟:0.4%、社内活動:1.1%)に留まっており、昨年同様、中堅企業のセキュリティ対策は、大幅に遅れていると言っても過言ではない。
4. 中堅企業の80%以上が働き方改革に着手
中堅企業の81%が働き方改革に着手。目的として、長時間労働の是正(79%)、労働生産性の向上(51%)、社員の健康増進(35%)が挙がる。施策としては、時間外労働の上限設定(49%)、ノー残業デーの徹底(37%)などが上位を占める。また本結果の背景は、厚生労働省が2020年までに週労働時間や年次有給休暇取得率などの改善に関して具体的な目標数字を掲げていることや、2017年3月に政府が方針を示した「働き方改革実行計画」などが大きな要因と考えられる。
5. 経営者の平均年齢が若返り、IT理解度向上とともに経営とITが一体化
中堅企業における経営者の平均年齢は57.7歳(昨年から1.6歳若返り)で、比較的IT理解度が高い世代による経営が進んでいる。IT投資の意思決定に関して、経営者のみが行っている企業は24%(昨年から2ポイント伸長)であり、経営者が関与している割合は73%(昨年から3ポイント伸長)といった結果からも、年々確実に経営とITの一体化が進む企業が増加。また、IoTやデジタルマーケティングなど、ビジネスへのIT活用が積極化しており、中堅企業においてもデジタルトランスフォーメーションが進んでいると考えられる。
6. クラウド(IaaS)の利用動向は昨年同様、限定的な企業の活用に留まる
クラウド(IaaS)の利用に関して、ほぼ全て移行している中堅企業は2%に留まり、一部利用が昨年度の18%から1ポイント増と微増なものの、導入があまり進んでいない企業が74%を占めている状況。いずれも昨年と同程度の結果で、クラウドへの移行は一部企業に限られており、停滞している傾向。
また、注目ITキーワードとして、昨年同様、「既存システムのクラウドへの移行」を30%以上が挙げており、興味・関心はあるものの、実際にクラウド移行に踏み切ることができていない企業が多数。一方で、一部企業では「クラウドからオンプレミスへの回帰」がさらに進む。
調査から明らかになった特筆すべき大きな変化
■中堅企業セキュリティの課題
・「経営者のセキュリティへの理解がない」という企業はセキュリティ事故予備軍
セキュリティ事故が起きている企業の共通点として、「経営者のセキュリティへの理解がない」ということを口実にするケースが多いが、その背景は、経営者にセキュリティの知見がないことに加え、担当者からトップへの積極的な説明・啓発が行われていないという双方の理由がある場合であることがわかった。
これは、セキュリティ順守のルールが未整備である企業の多くが陥る状況であり、順守すべきルールがないため、守るべき基準がわからず、取るべき対策が明確にならないというサイクルに陥っている。下記のようなセキュリティ対策を実施している企業も被害にあっている実態が存在している。
- ユーザーに情報や権限を与えない=セキュリティ対策としている企業
- セキュリティ対策はベンダー任せ、専門家がやっているので大丈夫という企業
- セキュリティガイドラインが未整備で、ファイアウォールとアンチウィルスで対策済とする企業
・セキュリティ事故により個人情報が流出した場合も顧客報告するケースはほとんどなし
顧客の個人情報の管理体制が十分に整備されておらず、デバイス紛失や標的型攻撃・不正ログインなどが発生した際、どういった情報が漏えいしているか特定できないため、顧客へ報告することができていない実態が明らかとなった。また、個人情報データへのアクセス権限を制御していても、実際はUSB経由などでデータの受け渡しを行い、業務しているケースが多く、暗号化がされていないクライアントPCに個人情報を保持している危険な状況が散見された。
■中堅企業における働き方改革の進捗
・確実に進捗している中堅企業の働き方改革の具体策
働き方改革の実態がつかめていなかったが、この調査により、具体策が進行していることがわかった。まず長年の課題だった労働時間の短縮について、労働時間の上限の設定を49%の企業が実施し、37%がノー残業デーを導入するなどの具体的な進捗が見られる。子育て・介護と仕事の両立支援が25% 、社員の健康増進策が25%と企業が従業員を大切にしていることが伺える。
また、デスクトップPCに加え、ノートPCを併用することが増加し、働き場所を選ばないノートPCに対応すべく、社内のワイヤレス化などが進んでいることがわかった。社内PCを配布する際に社内スタッフを動員して作業する運用が87%の中堅企業で行われていることが現状であり、休日や残業の時間での対応になるため、そのうち84%が外部リソースを今後活用していきたいとしている。
Dell EMCが提供する主な中堅企業向けソリューションとサービス
1.「ひとり情シス」ソリューションのユーザー活用推進
中堅企業向け「ひとり情シス」ソリューションの提供を開始してから1年、情報システム担当のリソース不足から来るIT運用負荷の高止まりや、複雑化・多様化するIT環境のシンプル化、自動化レベルの向上を支援する攻めと守りのITにおいて、具体的な導入・活用事例が増えた。また、昨年の「攻め、守り」から「走攻守防」とひとり情シスを支援する打ち手の幅が広がっている。
・「攻め、守り」から「走攻守防」へ
- (走)ゆりかごから墓場まで、ランニング経費・運用削減 など
- (攻)事前導入/予防による負荷軽減、トラブル対応の仕組化
- (守)管理の自動化/シンプル化、コア業務内製化によるスキルアップ
- (防)CSIRTによるセキュリティ事故発生後のプロセス整備
2. 中堅企業へCSIRT啓発をコミット
昨年度は、IPA「中小企業の情報セキュリティ対策ガイドライン」を全国レベルで普及させることを目指し、全国17都市で22回セミナーを開催した。昨今のサイバー攻撃の増加やセキュリティインシデントに対処する専門組織であるCSIRT担当者および担当部門がまだまだ設置されていない現状を踏まえ、セキュリティ事故を最小に抑えるため、Dell EMCは今年度も全国でセミナーやワークショップを開催していく。
