この調査では、情報セキュリティにまつわるインシデントの認知状況や個人情報保護法改正およびJIS Q 15001改訂の影響、2018年に施行されたGDPR(EU一般データ保護規則)への対応状況を含むグローバルでのセキュリティガバナンスの状況、総務省パスワード変更不要見解への対応状況などについて調査・分析している。
情報セキュリティ・インシデントの認知率、なりすましメールとWebサイトの不正アクセスが増加
過去1年間の情報セキュリティ・インシデントの認知状況では、「社内PCのマルウェア感染」、および情報機器、モバイル用PC、スマートフォン、携帯電話、タブレットの紛失・盗難が高い比率となったが、経年で比較すると、2019年は「Webサイトへの不正アクセス」(13.1%)や「外部からのなりすましメールの受信」(17.8%)が増加している(図1)。
これは標的型攻撃やビジネスメール詐欺の増加を反映していると言え、従来型のマルウェア感染や機器類の紛失・盗難への対策に加え、このような新しいサイバー攻撃への対策が必要となっていると考えられる。
情報セキュリティに関する支出では、認証取得にかける費用が増加
来る2019年度に向けたセキュリティ関連支出の増減傾向は、全体を通して増加を見込む割合が2割前後、横ばいが5割強と横並びとなった。その中で増加する見込みが最も高かったのは「セキュリティ関連の認証取得に関する費用」(27.4%)であり、減少する見込みも最も低く(3.8%)、他の項目と比較して支出に前向きな傾向が見られた(図2)。
自社の情報セキュリティレベルが十分なレベルにあることを、顧客や取引先に対して示すことが重視されていると見られる。
改正個人情報保護法対応では個人識別符号に対する関心が増加
2017年5月の個人情報保護法の改正、同年12月のJIS Q 15001(個人情報保護マネジメントシステム)の改訂から1年以上が経過し、改正内容について特に関心のある項目を問うたところ、「個人識別符号の定義と範囲、取扱い」(39.9%)が最も高く、「要配慮個人情報の定義と範囲、取扱い」(30.5%)、「匿名加工情報の定義と範囲、取扱い」(27.0%)が続く結果となった(図3)。
法改正を巡っては、当初はマーケティング用途によるビッグデータ分析のために個人情報の匿名化(非特定化)が注目されていたが、従業員のマイナンバーの取扱いなど、幅広い企業が影響を受ける個人識別符号のほうに、より関心が集中したと見られる。
GDPRはいまだに3割超が未対応
2018年5月に施行されたGDPRへの対応状況についても前年に続いて調査した。前年調査では施行前ということもあり、「存在を初めて知った」(11.1%)や「勤務先がどのように対応しているか知らない」(30.7%)と、「GDPRを気にすることなく移転を行っている」(15.0%)といった未対応の企業が半数を超えていた。
施行後に実施した今回の調査では、「GDPRにのっとったかたちで適正に個人情報の移転を行っている」企業が前年より8ポイント増加し34.4%を占めました。しかし、一方で、「知っているが何も対応していない」(13.5%)、「GDPRを気にすることなく個人情報の移転を行っている」(19.8%)と、現在も未対応の企業が3割超を占めた(図4)。
GDPRを巡っては、本調査実施中の2019年1月末に、個人情報保護法にGDPR補完ルールを追加することで十分性認定の合意が成立したことから、国内企業における対応のハードルは下がった。しかしその一方で、日本と、たとえば中国などアジア諸国との取引に対してEU域外との取引の制限を受けることになるため、依然としてGDPR対応は重要な課題であり続けるといえる。
総務省のパスワード定期変更不要の見解に対して、5割以上が定期変更を継続
2018年3月に総務省からパスワードの定期的な変更は不要、との見解が示されたことを受けて、本調査では、企業において定期変更を中止したかを確認した。その結果、この総務省の見解を受けて、「定期変更を止めた」とした企業はわずか8.0%にとどまり、「これまで通りパスワードの定期変更を行っている」が54.5%と半数以上を占める結果となった(図5)。
また、定期変更を止めて「他の認証を追加した」(6.4%)、「他の認証に変更した」(1.3%)、「複数認証の組み合わせ(多要素認証)に変更した」(5.5%)など、パスワードの定期変更を中止して認証方式の高度化に取り組んだ企業が1割強存在する。
パスワード認証は、単純にすれば破られやすく、複雑にすれば覚えにくく利便性が悪くなるという本質的な問題を抱えている。定期的な変更は、パスワードの単純化や使い回しを助長し、かえって脆弱性を増大させるというのが米NIST(国立標準技術研究所)および総務省の見解だ。企業においては、こうしたパスワード認証の問題点に対する理解と、他の認証方式との組み合わせ(多要素認証など)の採用が望まれる。
調査結果を受けて、ITRのシニア・アナリスト藤俊満氏は、次のように述べている。
――今回の調査において、情報セキュリティ・インシデントが、従来のマルウェア感染やPC・スマートフォンなどの情報機器の紛失・盗難に加えて、ビジネスメール詐欺や標的型攻撃のような巧妙かつ複雑な攻撃へと多様化していることがわかりました。
――改正個人情報保護法への対応については個人識別符号についての関心が高まっている一方、2018年に施行されたGDPRは3割以上の企業が未対応であったり、気にせず移行を行っていたりという実態から、個人情報のグローバル対応については課題が浮き彫りとなりました。グローバルセキュリティガバナンスを強化し、クラウド環境に合致したセキュリティツールを導入、運用することが望まれます。