約4割がセキュリティの重大被害を経験――トレンドマイクロが国内法人組織におけるセキュリティ実態調査:EnterpriseZine(エンタープライズジン)
Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

約4割がセキュリティの重大被害を経験――トレンドマイクロが国内法人組織におけるセキュリティ実態調査

2017/09/13 16:15

 トレンドマイクロは、官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者1,361名を対象に、セキュリティ被害と対策状況の実態を明らかにする調査「法人組織におけるセキュリティ実態調査 2017年版」を2017年6月に実施し、このほどその結果の概要を発表した。

1. 年間被害額は前年の平均2億1,050万円を超え過去最高の平均2億3,177万円

 2016年の1年間に経験したセキュリティインシデントについて調査したところ、全体の約41.9%が、個人情報や内部情報の漏えい、ランサムウェアによるデータ暗号化、金銭詐欺などのセキュリティインシデントによる重大被害を経験していることがわかった。また、年間被害額は前年の平均2億1,050万円を超え、平均2億3,177万円と過去最高という結果になった。

 セキュリティインシデントによる重大被害の上位は、1位「従業員・職員に関する個人情報の漏えい」(14.2%)、2位「顧客に関する個人情報の漏えい」(10.0%)、3位「業務提携先情報の漏えい」(8.1%)など、何らかの情報漏えい・流出被害を経験している法人組織が、31.1%に上ることが明らかになった。

 個人情報保護法や割賦販売法の改正、2018年5月施行を控えたEU一般データ保護規則(GDPR)の成立といった個人情報の取り扱いに関する動きが国内外である中で、深刻な数値といえる。また、近年猛威を振るっているランサムウェアによって7.6%がデータ暗号化の被害に遭い、取引先や経営幹部・上層部を偽ったビジネスメール詐欺による金銭詐欺被害には7.4%が遭っていることも明らかになった。

図1:セキュリティインシデントによる重大被害 経験割合・n=1361(作成:トレンドマイクロ)

 また、年間被害額が1億円を超える法人組織は、重大被害を経験した組織の29.4%で前年比4.1ポイント増加しており(前年25.3%)、原因究明・事実確認にかかる調査費用、対策の実施、損害賠償といったさまざまな事後対応費用を被害組織が支払っている実情が伺い知れる。

図2:重大被害を経験した組織での年間被害額・n=2017年:570、2016年:530(作成:トレンドマイクロ)

2.「ランサムウェア騒動」を受けて、法人組織の約4割がセキュリティ予算増加に奔走

 WannaCryに代表される2016年以降のランサムウェア騒動を受けて、法人組織の22.5%がセキュリティ予算をすでに増加し、21.6%が予算増加に向けて調整段階にあると回答した。

 何らかの重大被害を経験した組織ほど予算の増加意向は格段に高い(増加:40.5%、調整中:24.6%)傾向にある一方、重大被害/インシデント未経験の組織でも、2割以上が予算の増加傾向(増加:7.4%、調整中:17.5%)にあることが明らかになった。世間を騒がせるランサムウェアが事業継続を脅かす深刻な脅威として認知され、法人組織がセキュリティ投資にやや前向きになり始めていることが推測できる。

図3:2016年以降のランサムウェア騒動に起因したセキュリティ予算増加状況・n=1361(作成:トレンドマイクロ)

3. 進まない経営層・上層部のセキュリティへの理解・関与、進まない法規制ガイドラインへの対応

 セキュリティ上の脅威を事業継続・組織運営を脅かすリスクとして認識している経営層・上層部は、全体の32.1%と前年の31.1%と比較して、ほとんど変化がなかった。経営層・上層部が自組織のセキュリティ対策に積極的に関与している割合も、全体の26.5%にとどまった。

 セキュリティ対策に関する意思決定者・関与者のリスク認識レベルも決して高くなく、サイバー攻撃の脅威が法人組織にとって一層深刻になる一方で、法人組織の多くでサイバーリスクに対する認識が高まらない現状が浮き彫りになっている。経営層・上層部のサイバーセキュリティに対する理解度、関与度はセキュリティ対策レベルにも相関があることがわかっており、経営層・上層部の理解度、関与度を高めることがセキュリティ対策レベルの向上に重要。

 昨今、制定、改正された法規制ガイドラインを、自組織のセキュリティ対策に十分反映させている法人組織の割合も依然として少ない状況だ。例えば、改正個人情報保護法(2015年9月成立)については34.5%を占めているが、改正割賦販売法(2016年12月成立)、EU一般データ保護規則(GDPR、2016年4月成立)については、それぞれ、全体の13.0%、15.0%にとどまる結果となった。

 ビジネスにおける個人情報の利活用が進む一方で、個人情報を狙うサイバー攻撃は世界的にもとどまるところ知らないのが現状。このような背景から、セキュリティ対策の義務化に加えて過失には厳格な罰則規定のある法規制も出てきており、法規制への理解度と対応を高める、そのうえで各種ガイドライン対策強化の土台とすることが急務といえる。

図4:法規制ガイドライン理解度・対策反映度・n=1361(作成:トレンドマイクロ)

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5