SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

GDPR未対応企業が3割超に上り、個人情報のグローバル対応が課題に――JIPDECとITRが企業動向調査結果を速報

 この調査では、情報セキュリティにまつわるインシデントの認知状況や個人情報保護法改正およびJIS Q 15001改訂の影響、2018年に施行されたGDPR(EU一般データ保護規則)への対応状況を含むグローバルでのセキュリティガバナンスの状況、総務省パスワード変更不要見解への対応状況などについて調査・分析している。

情報セキュリティ・インシデントの認知率、なりすましメールとWebサイトの不正アクセスが増加

 過去1年間の情報セキュリティ・インシデントの認知状況では、「社内PCのマルウェア感染」、および情報機器、モバイル用PC、スマートフォン、携帯電話、タブレットの紛失・盗難が高い比率となったが、経年で比較すると、2019年は「Webサイトへの不正アクセス」(13.1%)や「外部からのなりすましメールの受信」(17.8%)が増加している(図1)。

 これは標的型攻撃やビジネスメール詐欺の増加を反映していると言え、従来型のマルウェア感染や機器類の紛失・盗難への対策に加え、このような新しいサイバー攻撃への対策が必要となっていると考えられる。

図1:過去1年間に認知した情報セキュリティ・インシデントの種類(経年比較)

情報セキュリティに関する支出では、認証取得にかける費用が増加

 来る2019年度に向けたセキュリティ関連支出の増減傾向は、全体を通して増加を見込む割合が2割前後、横ばいが5割強と横並びとなった。その中で増加する見込みが最も高かったのは「セキュリティ関連の認証取得に関する費用」(27.4%)であり、減少する見込みも最も低く(3.8%)、他の項目と比較して支出に前向きな傾向が見られた(図2)。

 自社の情報セキュリティレベルが十分なレベルにあることを、顧客や取引先に対して示すことが重視されていると見られる。

図2:2019年度のセキュリティ支出の増減予想

改正個人情報保護法対応では個人識別符号に対する関心が増加

 2017年5月の個人情報保護法の改正、同年12月のJIS Q 15001(個人情報保護マネジメントシステム)の改訂から1年以上が経過し、改正内容について特に関心のある項目を問うたところ、「個人識別符号の定義と範囲、取扱い」(39.9%)が最も高く、「要配慮個人情報の定義と範囲、取扱い」(30.5%)、「匿名加工情報の定義と範囲、取扱い」(27.0%)が続く結果となった(図3)。

 法改正を巡っては、当初はマーケティング用途によるビッグデータ分析のために個人情報の匿名化(非特定化)が注目されていたが、従業員のマイナンバーの取扱いなど、幅広い企業が影響を受ける個人識別符号のほうに、より関心が集中したと見られる。

図3:改正個人情報保護法およびJIS Q 15001の改訂内容についての関心度合い

GDPRはいまだに3割超が未対応

 2018年5月に施行されたGDPRへの対応状況についても前年に続いて調査した。前年調査では施行前ということもあり、「存在を初めて知った」(11.1%)や「勤務先がどのように対応しているか知らない」(30.7%)と、「GDPRを気にすることなく移転を行っている」(15.0%)といった未対応の企業が半数を超えていた。

 施行後に実施した今回の調査では、「GDPRにのっとったかたちで適正に個人情報の移転を行っている」企業が前年より8ポイント増加し34.4%を占めました。しかし、一方で、「知っているが何も対応していない」(13.5%)、「GDPRを気にすることなく個人情報の移転を行っている」(19.8%)と、現在も未対応の企業が3割超を占めた(図4)。

 GDPRを巡っては、本調査実施中の2019年1月末に、個人情報保護法にGDPR補完ルールを追加することで十分性認定の合意が成立したことから、国内企業における対応のハードルは下がった。しかしその一方で、日本と、たとえば中国などアジア諸国との取引に対してEU域外との取引の制限を受けることになるため、依然としてGDPR対応は重要な課題であり続けるといえる。

図4:GDPRの対応状況の変化(2018年~2019年)

総務省のパスワード定期変更不要の見解に対して、5割以上が定期変更を継続

 2018年3月に総務省からパスワードの定期的な変更は不要、との見解が示されたことを受けて、本調査では、企業において定期変更を中止したかを確認した。その結果、この総務省の見解を受けて、「定期変更を止めた」とした企業はわずか8.0%にとどまり、「これまで通りパスワードの定期変更を行っている」が54.5%と半数以上を占める結果となった(図5)。

 また、定期変更を止めて「他の認証を追加した」(6.4%)、「他の認証に変更した」(1.3%)、「複数認証の組み合わせ(多要素認証)に変更した」(5.5%)など、パスワードの定期変更を中止して認証方式の高度化に取り組んだ企業が1割強存在する。

 パスワード認証は、単純にすれば破られやすく、複雑にすれば覚えにくく利便性が悪くなるという本質的な問題を抱えている。定期的な変更は、パスワードの単純化や使い回しを助長し、かえって脆弱性を増大させるというのが米NIST(国立標準技術研究所)および総務省の見解だ。企業においては、こうしたパスワード認証の問題点に対する理解と、他の認証方式との組み合わせ(多要素認証など)の採用が望まれる。

図5:総務省のパスワード変更不要の見解への対応

 調査結果を受けて、ITRのシニア・アナリスト藤俊満氏は、次のように述べている。

――今回の調査において、情報セキュリティ・インシデントが、従来のマルウェア感染やPC・スマートフォンなどの情報機器の紛失・盗難に加えて、ビジネスメール詐欺や標的型攻撃のような巧妙かつ複雑な攻撃へと多様化していることがわかりました。

――改正個人情報保護法への対応については個人識別符号についての関心が高まっている一方、2018年に施行されたGDPRは3割以上の企業が未対応であったり、気にせず移行を行っていたりという実態から、個人情報のグローバル対応については課題が浮き彫りとなりました。グローバルセキュリティガバナンスを強化し、クラウド環境に合致したセキュリティツールを導入、運用することが望まれます。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/11852 2019/03/26 14:30

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング