弊社は島根県松江市あり、当方は主に自社提供サービス（SaaS）に関する業務の他、近隣地域の企業の情報セキュリティやシステムのコンサルティングなどを行っています。また個人活動として情報セキュリティを中心とした勉強会の活動を主催しており、日々感じていることをお伝えしたいと思います。

　鳥取県と島根県の山陰地方の２県は、人口の少ない方から1番と2番の県です。平成24年経済センサス-活動調査によると、両県の事業所数は、鳥取県が27,492、島根県が37,225。全国で5,768,489ですので、両県足しても1%程度です。島根県を例とすると、事業内容によりばらつきもありますが、0～4人の事業所で事業所数全体の6割を超え、0～19人の事業所で9割を越えます。人数でみても0～19人の事業所で従業員全員の約半数、0～49人の事業所で7割以上という状況です。

　企業数も企業規模も小さくなるのでIT資産をはじめとして、資産への投資額も小さくなります。また、このような状況ですので、組織の主たる業務以外については積極的な活動は困難なのが実情です。

　組織の情報セキュリティ対策としてここ数年の話題の中心は「標的型攻撃」です。大企業等大きな組織を中心に対策が進んでいますが、対策の進んでいない零細企業への攻撃を足がかりに取引先企業の情報を得るなど、1組織の取り組みだけで攻撃を防ぐことは難しいです。

　しかしながら多くの中小・零細企業では対策を講じられていません。

　対策のシステム化についても、大企業での利用が前提のソリューションや、社内情報システム部門ありきの対策は導入検討できません。

また社内の情報の大切さは理解していても、世の中で起き事件として報道されるインシデントについては対岸の火事でしかありません。

　社会全体として理解を深め、対策の必要性を感じていただくためにも当事者感覚が大切だと感じています。

　そして関心を持った事についての理解を深め、自分たちの事として理解・活用をするためにもインシデントの背景や経過、対策などの事例（特に経営や業務での視線で）がもっと公開されるべきでは無いかと考えています。

　今の社会、とかくインシデントについて発生したことそのものを皆で叩く雰囲気があり、事実の公開を控える傾向がありますが、それでは良い取り組みにつながりません。

　インシデント事実の公開が怖くない、原因や再発防止策を公表することが評価される社会を作っていくことが必要なのではと感じています。

 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。