ISMS認証取得コンサルタントの幸松です。

IPAから中小企業における情報セキュリティ対策の実施状況調査についての報告が公開されています。
報告書の総括としてIPAのサイトには以下のような文面があります。

(1) 対象企業の約7割が入門レベルの合格基準に達せず
IPAが作成した「5分でできる自社診断シート」を用いて、調査対象企業の情報セキュリティ対策状況を確認したところ、66社中43社（65%）の点数が合格基準として設定した70点未満の点数でした。
「5分でできる自社診断シート」は情報セキュリティ対策の入門レベルを想定し、最低限実施すべき項目をまとめたものです。IPAでは早急に中小企業の情報セキュリティ対策の底上げを行う必要があると認識しています。

(2) 概ね組織全体としての取り組みが弱い
対策項目別の実施状況を見ると、社内でのルール化や重要情報の明確化等の、組織全体として取り組むべき項目が未実施となっている傾向があります。

(3) 専門家や情報不在の状況
調査対象企業の多くは、情報システムの開発事業者等の外部専門家から情報セキュリティ対策に関する提案を受けておらず、自らも積極的に情報収集を行っていない事が分かりました。
また、情報セキュリティ対策を検討する際には、IT技術に関する知識のほか、業務分析や保有情報の重要性分析を行うため、企業経営の分析能力が必要となりますが、多くの中小企業には社内に豊富な知識や能力を有する人材がなく、専門家との接点もほとんど無い事が分かりました。

(4) 低い情報セキュリティ投資意向
最近の経済状況の変化を受け、IT投資意向が減退している中で、情報セキュリティ投資についても必要最低限に絞られる傾向があります。担当者が必要性を主張しても、経営層の理解を得られないという回答が多数ありました。
他の合理化案件と抱き合わせでコスト削減に結びつける事により経営層の理解を得る、といった担当者の“涙ぐましい努力”が伺える事例もありました。

(5) IPAガイドライン等の有効性を確認
IPAガイドライン等については、対象企業から、未実施項目に気付く良い機会となった等、概ね好印象が得られました。
ただし、「自ら手に取ろうとは思わない」という回答も多く、中小企業の情報セキュリティ対策の底上げのためには、外部専門家等の協力が重要であることがわかりました。

LRMのクライアント様は9割以上が中小企業ですので、中小企業の情報セキュリティに対する実際の取り組みも身をもって認識しています。
やはり大手企業と違い、情報セキュリティ専任の人材を確保できる中小企業は非常に少ないと思います、どう綺麗事を並べても情報セキュリティ対策が直接の売上増にはつながりませんので、なかなか人材のアサインも難しいと思います。

私自身も中小企業を経営する身としてその点は十分に理解できます。

大手企業と違い専任の人材を確保できない中小企業だからこそ弊社のような外部パートナーを有効に活用することが非常に重要になってくると思います。
LRMでは、ISMSの取得後の運用に関するサポートを準備しておりますし、今後も運用後のサービスは更に充実させていく予定です。
ISMSで大事なのは「取得すること」より「適切に運用すること」です。
LRMでは、中小企業が適切にISMSを運用するために外部専門家として最大限の支援を約束します。

ISMSの運用について考えている企業の方は是非以下のページをご覧になって下さい。

ISO27001/ISMS運用改善コース
https://www.lrm.jp/iso27001/service/unyou/

[参考サイト]
IPA：中小企業における情報セキュリティ対策の実施状況等調査