「法人組織におけるセキュリティ実態調査 2019年版」の概要
1. 約4割が重大被害を経験、年間平均被害額は4年連続2億円超え
国内法人組織の36.3%が2018年4月~2019年3月の1年間にセキュリティインシデントに起因した重大被害を経験したことが明らかになった。昨年調査の42.3%から改善は見られたものの、未だ約4割で情報漏えいやデータの破壊などの重大被害が発生している。
原因究明のための調査費用、改善策の導入、損害賠償といった事後対応を含めた年間平均被害総額は約2.4億円となり、4年連続で2億円を超える結果となった。
セキュリティインシデントに起因した重大被害の内容は上位5位が情報漏えいとなっており、依然として情報漏えいが法人組織における大きな問題になっている。
例年「従業員・職員に関する個人情報」「顧客に関する個人情報」「業務提携先情報」の漏えいが上位を占めていることに加えて、今年は新たに「技術情報」「事業戦略に関する情報」の漏えいについても上位にあることから、法人組織は自組織の情報資産の保護を改めて見直す必要があるといえる。
セキュリティインシデントの発生率を規模別で見ると、規模が大きくなるにつれてインシデント発生率も比例して上昇する傾向が見られた。従業員規模50名~99名の法人組織におけるインシデント発生率は40.6%となった一方で、5,000名以上の法人組織では75.8%と大きな差が開いている。
これは、中小規模の組織においてセキュリティ対策が十分でないことで、セキュリティインシデントの発生に気付けていない可能性がある。実際、セキュリティ対策実施状況をスコア化したものを規模別に見ると、5,000名以上の組織が100点満点中74.8点に対して50名~99名の組織では54.9点となっており、大規模の組織と比較すると中小規模の組織はセキュリティ対策が十分実施できていないことが分かる。
昨今では、グループ会社や業務で関連する組織を攻撃し、それを足がかりに標的組織へ攻撃する「サプライチェーン攻撃」も発生していることから、規模の大きさを問わず全ての法人組織が改めてセキュリティ対策を見直す必要がある。
2. 改善が見られない経営層のリスク認識、法規制への理解と対応
法人組織における経営層・上層部のサイバーセキュリティに関するリスク認識を調査したところ、「事業継続上あるいは組織運営上のリスクとして十分認識している」と回答した割合は34.6%に留まった。昨年調査の31.4%からわずかに増加しているものの、改善は依然として見られない。
さらに、経営層・上層部のセキュリティ対策への関与について「十分関与している」と答えた割合は25.4%となっており、経営層がセキュリティに十分関与できていない状況にある。経営層・上層部は、セキュリティインシデントによる被害内容次第ではシステムやサービスの停止、ブランドイメージ・信用低下につながり自法人の事業に大きな影響をおよぼす可能性があることを理解し、セキュリティに対するリスク認識を改めることが求められる。
また、セキュリティ関連の法規制およびガイドラインに対する法人組織の理解度とセキュリティ対策への反映度についても大きな変化は見られていない。2019年には、EU一般データ保護規則(GDPR)によって制裁金が課される事例が複数あった一方で、同規則について「存在自体を知らない」「存在を知っているが内容については知らない」と回答した割合は25.5%となった。
今後、国際イベントを控える日本では、EU一般データ保護規則(GDPR)を含む国内外の法規制やガイドラインを今一度確認したうえで、改めて対策への反映を検討することが重要といえる。
3. 依然十分なセキュリティ対策の実施が進まない業種特有環境
業種特有環境におけるセキュリティ対策の実施度についても依然改善が見られない。セキュリティ対策実施状況を見ると、金融の業種特有環境についてはいずれも「十分セキュリティ対策が実施されている」と回答した割合が半数以上となる一方で、医療・製造・生産環境、運行管理システム環境等の重要システム環境、POSシステム・ネットワークはいずれも3割を下回っている。
特に、セキュリティインシデント発生率が45.1%と高かった製造・生産環境においては、「十分セキュリティ対策が実施されている」と回答した割合がわずか14.7%だけだった。これは、昨今では工場に対するサイバー攻撃が複数確認されていることからサイバーセキュリティ対策の必要性が徐々に浸透し、自法人のセキュリティ対策が十分でないと認識するようになってきたことが要因の1つと推測できる。
■調査概要
- 調査名:法人組織におけるセキュリティ実態調査 2019年版
- 実施時期:2019年6月
- 回答者:法人組織における情報セキュリティ対策の意思決定者、およびに意思決定関与者 計1,431人 (民間企業:1,132人、官公庁自治体:299人)
- 手法:インターネット調査