法人組織におけるセキュリティ実態調査【2018年版】

トレンドマイクロは、日本国内の官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者を対象に、セキュリティインシデントによる被害とセキュリティ対策の実態を明らかにする調査「法人組織におけるセキュリティ実態調査 2018年版」を2018年9月に実施し、これを発表した。
情報漏えいなどの重大被害発生率は過去最高の42.3%に達する一方で、変わらない経営層のサイバーリスク認識が浮き彫りになった。

1.  重大被害発生率は過去最高の42.3%に達し、年間平均被害額は3年連続2億円超え

結果として、国内法人組織の42.3%が2017年の1年間にセキュリティインシデントに起因した重大被害を経験したことが明らかになった。また、これらの原因究明を目的とした調査費用や、改善策の導入、損害賠償といった様々な事後対応費用を含む年間被害額は、平均2億1,153万円となり過去3年連続で2億円を超える結果になったという。

経験したセキュリティインシデントによる重大被害のTOP3は昨年と同様の結果となり、「従業員・職員に関する個人情報漏えい」(16.2%)、「顧客に関する個人情報漏えい」(11.2%)、「業務提携先情報の漏えい」(8.7%)と続き、情報漏えいが法人組織において依然として大きな問題になっていることが見てとれる。(図1-A)

また、昨今話題のビジネスメール詐欺による「経営幹部・上層部を装った金銭詐欺」は4.1%、「取引先を装った金銭被害」は3.7%を占め、いずれかの金銭被害に遭っているのは6.9%に上ることが明らかになった。

図1-A:2017年セキュリティインシデント経験割合 (n=1,455 複数回答)

さらに、セキュリティインシデントによる重大被害の経験割合を従業員規模別、地方別、業種別で分析したところ、データにばらつきは見られるものの、地域や業種に一貫性はなく、様々な規模、地域、業種において被害に遭っていることが分かった。(図1-B)
いつどこでも起こりうるものとして、その対策を行わねばならないことがよくわかる。

図1-B:2017年セキュリティインシデント経験割合(従業員規模別・地方別・業種別)
(n=1,455 複数回答)

年間被害額に目を向けると、前年の2億3,177万円と比較すると2,024万円の減少にはなっているものの、過去3年連続で2億円を超えており、インシデント対応にかかるコストも高止まりの状況であることが明らかになった。(図2)
中でも年間被害額が1億円を超える法人組織は26.2%を占め、2017年の29.4%、2016年の25.3%と比較しても大きな変動は見られず、重大な被害に直面した際に法人組織が負担するコストが大きい状況であることが伺われる。

図2:重大被害を経験した組織での年間被害額

2. 変わらない「経営層のサイバーリスク認識」と「法規制への理解と対応」

サイバーセキュリティに関する問題を事業継続上、組織運営上のリスクとして経営層が「十分認識している」と回答したのは全体の31.4%に留まっている。(図3)
これは、過去2年間のデータと比較してみても、認識に大きな変化は見られない。

近年サイバーセキュリティや個人情報保護に関連した様々な法規制が国内外で整備されていく中で、「その内容を理解した上でセキュリティ対策に十分に反映させている」と回答している割合も過去3年間の調査結果を通して、大きな変化はない。(図4)
今年5月に施行されたEU一般データ保護規則(GDPR)に関しても、施行前の2017年調査結果(2017年6月実施)と比較しても施行後の2018年の調査結果(2018年9月実施)との大きな変化は見られず、対策が進んでいないことは明白である。
重大な被害に繋がるセキュリティインシデントを経験する法人組織の割合が増加傾向にある中で、変わらない経営層のリスク認識や進まない法規制への対応が、組織全体のリスク軽減やセキュリティレベル向上を妨げる要因の一つになっている可能性が伺われる結果である。

図3:情報セキュリティに関する経営層のリスク認識
※各回答は調査実施時点に基づきます

図4:法規制ガイドライン理解度・対策反映度
※各回答は調査実施時点に基づきます

3. 増加傾向にある業種特有環境でのセキュリティインシデント発生率

2017年の1年間に通常の情報系ネットワークとは異なる業種特有の環境において、ウイルス感染や内部犯行などを含む様々なセキュリティインシデントが発生した法人組織の割合は平均は34.0%となり、過去3年間、継続して増加傾向となっている。(図5)
これを業界別にみても、医療、金融、製造など様々な特有の環境においてセキュリティインシデント発生率が増加傾向にあることが分かった。これまで業種特有の多くの環境はインターネットに接続されていないクローズド環境のためセキュリティリスクは低いと考えられていた。しかしながら、これまで以上にリスクは高くなってきていることがこの調査結果から伺え、クローズド環境の安全神話が崩れ、様々な業種へ広がりを見せるIoTへの取り組みが進む中で、セキュリティ対策がこれまで以上に重要となることを改めて裏付ける結果と言える。

図5:業種特有環境におけるセキュリティインシデント発生率

■調査概要
調査名:法人組織におけるセキュリティ実態調査 2018年版
実施時期:2018年9月22日~9月25日
回答者:法人組織における情報セキュリティ対策の意思決定者、およびに意思決定関与者
計1,455人 (民間企業:1,132人、官公庁自治体:323人)
手法:インターネット調査
※調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値です。

 

一言でセキュリティインシデントといってもその内容は様々。情報漏洩といってもPCを電車の網棚に置き忘れたのか、内部犯行なのか、ハッキングなのかで、必要となる要素は異なります。だからこそ、社内の事業に精通し、それに見合ったセキュリティを考えられる専門家を各社備えればいけない時代に入っているのかもしれません。


本レポートは、トレンドマイクロ様のプレスリリースの内容を元に作成しております。
ソース:https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20181219-01.html

関連記事

ピックアップ記事

  1. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  2. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  3. PCNW(PC・ネットワークの管理・活用を考える会)が、東京会場における今期最初の勉強会「第一回クラ…
  4. 政府は11月をテレワーク月間と定め、時間と場所を選ばない働き方を推進しています。中には完全リモートワ…
  5. 自動化もデータ連携も、求められれば“いろんなことができる”Excelと Access。万能系の呼び声…
  1. 使える! 情シス三段用語辞典75「インターネットブレイクアウト(ローカルブレイクアウト)」

  2. 法人組織におけるセキュリティ実態調査【2018年版】

  3. 生産性向上の切り札なのか!? RPA導入のポイント

  4. 【セキュリティ基礎知識】気をつけよう!企業向けフィッシング詐欺

  5. 迫るアップデート終了、備えは大丈夫か!? Java有償化問題

  6. 【セキュリティ基礎知識】気をつけよう!ビジネスメール詐欺

  7. 【情シスの赤本】メール誤送信と取るべき対策

  8. APIでつながる、新しいクラウドサービス(SaaS)の形

  9. 【情シス基礎知識】Win10導入、覚えておくべき10の掟

  10. 【情シス基礎知識】知らなかったじゃ済まない「NIST SP800-171」とは?

関連サイト

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  2. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  3. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
  4. 業務にもようやく慣れてきた。そうなると気になるのが業務の効率化。作業をもっと素早く、ラクにできないも…
  5. 「IOT(コネクテッド・インダストリーズ)税制」の受付が今年6月よりスタートしました。コネクテッド・…
  6. だいぶ普及した感のある公衆無線LAN。外国人観光者はもとより、パケット代に敏感な中高生だけでなく、ビ…
ページ上部へ戻る