SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

重大被害発生率は過去最高の42.3%に達するが、変わらない経営層のサイバーリスク認識――トレンドマイクロ発表

1. 重大被害発生率は過去最高の42.3%に達し、年間平均被害額は3年連続2億円超え

 国内法人組織の42.3%が、2017年の1年間にセキュリティインシデントに起因した重大被害を経験したことが明らかになった。また、原因究明を目的とした調査費用や、改善策の導入、損害賠償といった様々な事後対応費用を含む年間被害額は、平均2億1,153万円となり過去3年連続で2億円を超える結果になった。

 経験したセキュリティインシデントによる重大被害の上位3位は、昨年と同様の結果となり、「従業員・職員に関する個人情報漏えい」(16.2%)、「顧客に関する個人情報漏えい」(11.2%)、「業務提携先情報の漏えい」(8.7%)と続き、情報漏えいが法人組織において依然として大きな問題になっていることが分かった(図1-A)。

 ビジネスメール詐欺による「経営幹部・上層部を装った金銭詐欺」は4.1%、「取引先を装った金銭被害」は3.7%を占め、いずれかの金銭被害に遭っているのは6.9%に上ることが明らかになった。

 さらに、セキュリティインシデントによる重大被害の経験割合を従業員規模別、地方別、業種別で分析したところ、データにばらつきは見られるものの、様々な規模、地域、業種において被害に遭っていることが分かった(図1-B)。

 年間被害額は、前年の2億3,177万円と比較してみると2,024万円の減少にはなったが、過去3年連続で2億円を超えており、インシデント対応にかかるコストも高止まりの状況であることが明らかになった(図2)。また、年間被害額が1億円を超える法人組織は26.2%を占め、2017年の29.4%、2016年の25.3%と比較しても大きな変動は見られず、重大な被害に直面した際に法人組織が負担するコストが大きい状況であることが伺われる。

図1-A:2017年セキュリティインシデント経験割合(n=1,455 複数回答)
図1-B:2017年セキュリティインシデント経験割合(従業員規模別・地方別・業種別)(n=1,455 複数回答)
図2:重大被害を経験した組織での年間被害額

2. 変わらない「経営層のサイバーリスク認識」と「法規制への理解と対応」

 サイバーセキュリティに関する問題を事業継続上、組織運営上のリスクとして経営層が「十分認識している」と回答したのは全体の31.4%に留まった(図3)。過去2年間のデータと比較してみても、認識に大きな変化は見られないことが分かる。

 また、近年サイバーセキュリティや個人情報保護に関連した様々な法規制が国内外で整備されていく中で、「その内容を理解した上でセキュリティ対策に十分に反映させている」と回答している割合も過去3年間の調査結果を通して、大きな変化が見られない(図4)。

 今年5月に施行されたEU一般データ保護規則(GDPR)に関しても、施行前の2017年調査結果(2017年6月実施)と比較しても、施行後の2018年の調査結果(2018年9月実施)との大きな変化は見られず、対策が進んでいないことが明らかになった。

 重大な被害に繋がるセキュリティインシデントを経験する法人組織の割合が増加傾向にある中で、変わらない経営層のリスク認識や進まない法規制への対応が、組織全体のリスク軽減やセキュリティレベル向上を妨げる要因の1つになっている可能性が伺われる。

図3:情報セキュリティに関する経営層のリスク認識
図4:法規制ガイドライン理解度・対策反映度※

3. 増加傾向にある業種特有環境でのセキュリティインシデント発生率

 2017年の1年間に通常の情報系ネットワークとは異なる業種特有の環境において、ウイルス感染や内部犯行などを含む、様々なセキュリティインシデントが発生した法人組織の割合は平均は34.0%となり、過去3年間、継続して増加傾向になった(図5)。業界別にみても、医療、金融、製造など様々な特有の環境においてセキュリティインシデント発生率が増加傾向にあることが分かった。

 これまで業種特有の多くの環境は、インターネットに接続されていないクローズド環境のためセキュリティリスクは低いと考えられていた。しかし、これまで以上にリスクが高くなってきていることがこの調査結果から伺え、クローズド環境の安全神話が崩れ、様々な業種の企業におけるIoTへの取り組みが進む中で、セキュリティ対策がこれまで以上に重要となることを改めて裏付ける結果と言える。

図5:業種特有環境におけるセキュリティインシデント発生率(クリックして拡大)

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/11539 2019/01/21 14:47

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング