1. 年間被害総額は平均2億1,050万円と前年比約1.6倍の大幅な増加
法人組織の38.5%(530名)が「個人情報の漏えい」や「生産・操業停止」など、ビジネスに影響を及ぼす「深刻なセキュリティインシデント」を2015年1年間に経験したと回答した。
「社員情報の漏えい(23.3%)」や「顧客情報の漏えい(19.4%)」に代表されるように、保有する個人情報が多くの法人組織で漏えいしている(図1)。この現況は、規模および地域に関係なく、国内の法人組織において見られることがわかった。
「深刻なセキュリティインシデント」発生時には、短期的損失だけでなく、組織の社会的信用が損なわれ、結果として経営面への影響も中長期的に発生する。システムの復旧費用や売上機会損失、再発防止策や補償などの二次的、三次的な被害額も含めた年間被害総額は、平均2億1,050万円に上り(図2)、前年の平均被害総額1億3,105万円に対して約1.6倍と大幅に増加した。
2. 非情報系システムのインシデント発生率は29.1%――十分な対策実施は3割未満
POSシステムや製造プラントなど、業種特有の環境がインターネットにつながり始めている。非情報系システムにおける「サイバー攻撃」や「内部犯行」といったセキュリティインシデントは、調査対象システム平均で29.1%が2015年1月~2016年6月の間に経験したと回答した。
「住基含む基幹系ネットワーク環境 (官公庁自治体:35.3%)」「運行管理システム環境などの重要環境(運輸・交通・インフラ:35.2%)」「インターネットバンキング環境 (金融:34.3%)」がインシデント発生率上位3位で、さまざまな業種特有の環境でセキュリティインシデントが発生していることがわかった。
一方で、これらの非情報系システムで「十分セキュリティ対策ができている」と回答しているのは、全対象システム平均で26.8%になることがわかった。「どちらかというと十分セキュリティ対策ができている(42.7%)」を含めると69.5%がセキュリティ対策はできていると回答したが、非情報系のシステムにおいて「深刻なセキュリティインシデント」が発生した際には、事業継続性の観点で影響の規模や範囲が大きくなることが想定される。
IoT(Internet of Things)のように、さまざまなシステムがインターネットにつながり始める中で、業種特有の非情報系システムにおけるセキュリティはこれまで以上に重要になってくる。
3. セキュリティ対策包括度は昨年と横ばいの平均62.0点――体制整備と役職設置に注力
法人組織において、技術面と組織面でセキュリティ対策がどれだけ網羅性をもって実施されているかを示すセキュリティ対策包括度は平均62.0点(技術的対策平均:39.7点、組織的対策平均:22.3点)と、前年の62.7点と比較すると横ばいであることがわかった。
トレンドマイクロでは、法人組織に最低限必要と考えられる対策レベルをベースラインスコア72点と定義しているが、その数値を依然大きく下回る結果となった。また、セキュリティ対策包括度を構成する技術的対策と組織的対策の平均点もそれぞれ前年比で大きな変化は見られなかった(図3)。
一方で、法人組織がセキュリティ関連の体制整備を最優先に進めている傾向が明らかになった。CSIRT(Computer Security Incident Response Team)やSOC(Security Operations Center)といった脅威の早期発見やインシデント対応を可能にする組織や、CIO(Chief Information Officer)、CISO(Chief Information Security Officer)、CSO(Chief Security Officer)などのセキュリティ関連の要職の設置状況も調査した。
CSIRTとSOCの設置率は、それぞれ14.6%、14.3%と、2014年調査時の3.7%、3.0%と比較して10ポイント以上と大幅に増加した。また、CIO、CISO、CSOの設置率は、それぞれ23.1%、 22.6%、20.2%となった。設置予定・検討中を見ても、それぞれ24.7%(CIO)、25.4%(CISO)、26.9%(CSO)と、セキュリティに関する体制整備と舵を取る人材の必要性への理解が法人組織において進んでいると言える。
