同社の発表によると、インシデント発生時の被害を最小限に抑えるための対応を行う内部組織であるCSIRT(Computer Security Incident Response Team)、ログ監視などで攻撃の早期発見を担当するSOC(Security Operation Center)のいずれかを設立済みの組織は、回答者全体の5.6%にとどまることが分かった。
一方で、従業員1,000名以上の組織においては、12.8%がCSIRT・SOCのいずれかをすでに設立しており、約4分の1にあたる25.3%が今後設立予定だという。昨今のサイバー攻撃の被害を鑑み、中堅規模以上の組織を中心に、万が一のインシデント発生時も対応できる体制づくりを進めているとしている。
また、一般社員のセキュリティ意識向上を目的とした取り組みの実施状況については、セキュリティに関する注意喚起は全体の69.8%が「実施している」と回答。社員向けのセキュリティ教育を実施しているとした回答者は全体の51.1%、サイバー攻撃を想定したなりすましメール訓練の演習を実施しているとした回答者は全体の8.7%にとどまった。
なお、社員教育については全体の3割以上、なりすましメール訓練によるサイバー攻撃演習については全体の約7割の回答者が今後も「実施予定なし」と回答した。
また、組織内でセキュリティを担当するセキュリティ人材のスキル向上の取り組みでは、社内で講習会を実施しているのは全体の38.7%、社外の講習会に参加しているのは26.6%という結果となった。
同社では、昨今発生しているサイバー攻撃や情報漏えいといったセキュリティ事故の防止策として、社員のリテラシー向上やセキュリティ人材の育成はこれまで以上に求められている。また事故発生時には、インシデント対応を行う組織やフローの整備は、極めて重要だとコメント。社外のセキュリティの専門家の知見も活用しながら、組織で使用しているITシステムが攻撃を受けた際の経営環境への悪影響を考慮し、経営上の問題としてその必要性を検討するべきと指摘している。
