特徴的なインシデントの認知率増加に伴い、セキュリティ対応は経営上の重要課題へ
まず、定点観測している「過去1年間に認知した情報セキュリティ・インシデントの種類」については、特徴的なインシデントにおいて増加傾向が見られ、国内企業が現実的なセキュリティの脅威にさらされていることが明らかになった。「社内PCのマルウェア感染」は例年通り最も認知されているインシデントとなっているが、今年は特徴的なインシデントとして「公開サーバ等に対するDDoS攻撃」「内部不正による個人情報の漏洩・滅失」「外部からのなりすましメールの受信」の認知率が上昇している(図1)。
特に「外部からのなりすましメールの受信」については、従業員規模別のいずれの規模でも認知率が増加している。2017年から国内において金銭をだまし取るビジネスメール詐欺(BEC:Business E-mail Compromise)による被害が出始めたことから、早急な対応が求められる(図2)。また、「公開サーバ等に対するDDoS攻撃」も全ての従業員規模で増加しており、2020年東京五輪に向けた攻撃の予兆がうかがえる。
続いて、セキュリティ・リスクの重視度合いを問うた結果、「標的型のサイバー攻撃」および「内部犯行による重要情報の漏洩・消失」については、「極めて重視しており、経営陣からも最優先で対応するよう求められている」との回答が2016年以降年々増加しており、今回はともに3割を超えた(図3)。
また、2017年11月のサイバーセキュリティ経営ガイドラインの改定に伴い、経営層のセキュリティ対策への関与が高まっているといえる。調査ではITガバナンス・内部統制対策に関する費用、個人情報保護対策に関する費用が、中堅・中小企業でも増加している結果が見られた。
改正個人情報保護法は匿名加工情報の扱い、第三者提供への関心が増加
今回の調査では、改正個人情報保護法の施行後の対応状況についても着目した(図4)。まず、改正法の内容について関心を持っている項目としては、「匿名加工情報の定義と範囲、取扱い」「個人データの第三者提供」が年々増加している結果となった。改正個人情報保護法への対応が終了した企業では、今後は匿名加工情報を利用してビジネスに貢献することに注力すると予測される。
しかしながら、改正法への対応状況について問うたところ、8割弱の企業は2017年度(2018年3月)までに対応を完了させる見込みだが、依然としていつまでに完了できるかわからない企業も2割強存在し、課題といえる(図5)。
EUのプライバシー規制への対応はいまだ不十分
一方、海外のプライバシー規制への対応については課題も浮き彫りとなった。特に厳しいプライバシー規制を設けていることで知られるEU域内に、事業拠点または顧客をもつ企業(153社)に対して、EU域内居住者の個人情報の域外への移転を制限する「GDPR(EU一般データ保護規則、2018年5月から施行予定)」への対応状況を問うたところ、約4割が「GDPRの存在を初めて知った」、または「GDPRの存在は知っているが、勤務先がどのように対応しているかは知らない」とし、規制対応にIT/セキュリティ責任者が十分に関与していない実態が明らかとなった。
また、「GDPRに触れぬよう、個人情報は移転しないようにしている」が9.2%、「GDPRを特に気にすることなく個人情報の移転を行っている」との回答が15.0%存在し、「GDPRにのっとったかたちで適正に個人情報の移転を行っている」は26.1%にとどまった(図6)。同規則ではインシデントが発生した場合には、72時間以内に報告義務が必要となることなどから、対象となる企業では早急な対応が求められる。
経営課題として「働き方改革」への関心は高まりつつあるが、対策の整備状況は微増
昨年に引き続き、政府が推進する「働き方改革」も調査対象に加えた。その結果、従業員の「働き方改革が経営目標として掲げられている」企業の割合は2017年の26.8%から2018年は34.2%に増加している。しかしながら、「テレワークの制度が整備されている」および「在宅勤務制度が整備されている」企業の割合は微増にとどまった(図7)。
調査結果を受けて、ITRのシニア・アナリスト大杉豊氏は、「今回の調査では、特徴的な情報セキュリティ・インシデントが大企業だけでなく、中堅および中小クラスの企業でも認知が拡大していることが確認されました。セキュリティ上の脅威を現実のものとして捉える企業の裾野が2020年の東京五輪へ向けてより広がっており、セキュリティは大きな経営課題となっています。その一方で、改正個人情報保護法への対応は8割弱の企業において2017年度中に終了する見込みですが、海外の法規制対応については、GDPRにのっとったかたちで対応ができている企業は約26%にとどまり、いまだ対応が進んでいない企業が大半を占めることから、罰則金が科されるこの法令への早急な対応が求められます。国内企業においては、サイバーセキュリティ経営ガイドラインへの準拠を通じて経営層を巻き込み、全社的なリスク・マネジメントの一環として情報セキュリティへの投資を行う必要があります。特に、インシデントの検知・復旧での能力を向上するために、多様化と複雑化が進む現在のリスクについて改めて捉え直すことから始めることが求められます」と述べている。
この調査は、JIPDECからの依頼に基づき、JIPDECとITRが2018年1月17日から29日にかけて実施したもの。調査は、ITRの独自パネルに対するWebアンケート形式で実施し、従業員数50名以上の国内企業に勤務し、IT戦略策定または情報セキュリティ施策に関わる係長職相当職以上の役職者約2,000名に対して回答を呼びかけ、693名の有効回答を得た(1社1名)。
今回発表した動向だけでなく、情報セキュリティ対策の具体的な取り組み状況、製品/サービスの導入状況、認定/認証制度の取得状況など、広範にわたる調査を実施している。調査結果の詳細は、JIPDECが2018年5月下旬に発行予定の「JIPDEC IT-Report 2018 Spring」に掲載し、Web公開する予定だ。
