EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

サイバー攻撃の認知率とリスク重視度が上昇――JIPDECとITRが企業IT利活用調査の速報結果を発表

  2016/03/17 14:45

 一般財団法人日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は、国内企業672社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2016」の一部結果を速報として発表した。この調査では、情報セキュリティにまつわるインシデントの認知状況や情報セキュリティ対策の取り組み状況、新たにスタートした社会保障・税番号制度(マイナンバー制度)への対応状況などについて調査・分析している。

増加するサイバー攻撃インシデント

 今回の調査で、まず注目されるのは、サイバー攻撃に関わる情報セキュリティ・インシデント認知の増加。調査で定点観測している「過去1年間に経験した情報セキュリティ・インシデントの種類」の回答結果を見ると、特定組織に狙いを定めて重要情報の窃取などを図る「標的型のサイバー攻撃」を認知した企業の割合は、前年調査から1.8ポイント上昇して9.5%となった。また、サイバー攻撃のきっかけともなる「外部からのなりすましメールの受信」は、前年調査から3ポイント近くも増加して8.3%となった(図1)。

図1:過去1年間に経験した外部攻撃に関わるセキュリティ・インシデントの経年比較  

 これに伴い、標的型サイバー攻撃のリスクを経営上重視する企業も増加傾向にある。標的型サイバー攻撃について、「最優先で対応が求められている」とした企業は23.7%に上り、直近3回の調査で最多となった。「セキュリティ課題の中でも優先度が高い状況である」(31.1%)と合わせれば、半数を超える約55%の企業が優先度の高い課題であるとしている(図2)。

図2:「標的型のサイバー攻撃」のリスクに対する重視度合い(経年比較)  

マイナンバー制度対応は1年前から進展を見せるも、「完了」は3割台

 2016年1月から、社会保障、税、災害対策のための本格利用が開始された「社会保障・税番号制度(マイナンバー制度)」に関する情報システムの対応状況についても、前年に続いて調査を実施した。今回の調査では、マイナンバー制度対応を経営課題として重視する企業の割合が前年調査(9.2%)から上昇して17.1%となり、それに呼応して、情報システムの対応が「完了している」とした企業は前年調査から10ポイント以上、「作業が進行中」とした企業も約15ポイント増加した。しかし、完了の割合は30%強にとどまり、いまだ多くの企業が対応に追われている最中であるとの実態も浮き彫りとなった(図3)。

図3:マイナンバー制度に対る情報システムの対応状況(経年比較)  

 なお、「未完了」(作業が進行中、準備・検討中、対応予定だが未着手)と回答した企業に、完了していない主たる理由を問うたところ、その進捗状況によって、遅れの理由が異なっていることも確認できた。

 まず、「進行中」とした企業では、「社内のIT人材リソースの不足」が課題となっており、「準備・検討中」とした企業では、「システム化予算の不足」が最も多い理由として挙げられている。また、「対応予定だが未着手」とした企業では、「社内担当部門との調整不足」が最多となった(図4)。企業において、マイナンバー対応が一定の負担となっている現実がうかがえる。

図4:マイナンバー制度に対する情報システムの対応が完了していない主な理由(進捗状況別)  

2016年度に向けてコンプライアンス関連支出に伸び

 今回の調査では、2015年9月に成立した改正個人情報保護法に関して、その対応状況などに関する調査も行ったが、企業の回答状況は前年調査から大きな変化が見られなかった。少なくとも国内企業の情報システム部門においては、法改正に伴う具体的な施策が本格化していないことが見てとれた。ただし、来る2016年度(2016年4月~2017年3月)に向けたセキュリティ関連支出の増減見込みを問うたところ、過去2回の調査と比べて、コンプライアンス関連支出に明らかな伸びが確認された。

 次年度に向けた支出の見込みを「増加(3点)」「横ばい(2点)」「減少(1点)」「計画していない(0点)」と重み付けして有効回答で除した「セキュリティ支出増減指数」を算出し、過去の回答結果と比較したところ、2016年調査では「個人情報保護法対策費用」「個人情報保護法以外のプライバシー保護対策の費用」「内部統制/J-SOX対応費用」の3項目の指数が、過去2回の調査を大きく上回る結果となった(図5)。

 改正個人情報保護法の影響により、プライバシー保護に向けた対策を強化しようと考える企業が少なくないことがうかがえる。

図5:項目別に見るセキュリティ支出増減指数(経年比較)  

 図5の指数は、次年度に向けた支出の見込みを「増加(3点)」「横ばい(2点)」「減少(1点)」「計画していない(0点)」と重み付けして有効回答で除した値。

 調査結果を受けて、ITRのシニア・アナリスト舘野真人氏は、「今回の調査結果では、外部からのサイバー攻撃のインシデントが拡大しており、国内企業にとって無視することのできない脅威となっていることが示されました。特に、差出人を偽るなりすましメールの認知件数はこの1年で急速に増加しており、電子メール環境の見直しは急務となっています。また、経営課題として重視する企業が増加したマイナンバー制度対応については、進展が見られた反面、人員、資金などの面で企業に少なからぬ負担を強いている実態も浮き彫りとなりました。そのため、全社的な情報セキュリティ強化という当初の目標に背を向け、マイナンバーの運用に特化したポイント・ソリューションの導入や外部委託の採用に踏み切る企業も増加しています。改正された個人情報保護法への対応とも合わせて、企業においては、社内の重要データを包括的に保護するためのプロセス、システムの整備に注力することが望まれます」と述べている。

 なお、この調査は、JIPDECからの依頼に基づき、JIPDECとITRが2016年1月22日から27日にかけて実施したもの。調査は、ITRの独自パネルに対するWebアンケート形式で実施し、従業員数50名以上の国内企業に勤務しIT戦略策定または情報セキュリティ施策に関わる係長職相当職以上の役職者約2,000名に対して回答を呼びかけ、672名の有効回答を得た(1社1名)。

 今回発表した動向だけでなく、情報セキュリティ対策の具体的な取り組み状況、製品/サービスの導入状況、個人情報保護法改正への対応など、広範にわたる調査を実施している。調査結果の詳細は、JIPDECが2016年5月に発行予定の『JIPDEC IT-Report 2016 Spring』に掲載し、Web公開する予定。

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5