「KPMGサイバーセキュリティサーベイ2017」の査結果について説明するKPMGコンサルティング株式会社
サイバーセキュリティアドバイザリー パートナー 田口 篤氏、KPMGコンサルティング株式会社
サイバーセキュリティアドバイザリー シニアマネージャー 平野 宜敬氏(写真左から)
1. セキュリティ被害の実態と対策の実情
・およそ3割(27.4%)の国内の企業が、実被害の有無を問わず、過去1年間に不正な侵入を受けたことが明らかになった(図1)。被害内容の内訳では、回答企業の22.3%でランサムウェアによる業務上の被害が発生していた(図2)。
・企業においてサイバー攻撃などのインシデントに対応する組織である「CSIRT(Computer Security Incident Response Team)」を設置済みの企業は2割弱に留まり、設置予定がないと回答した企業が約40%にも達していた(図3)。また、今回の調査で設置予定がないと回答した企業のうち、売上高が5,000億円以上の企業でも12.7%と、企業規模を問わず国内の企業でのCSIRTの設置が進んでいないことが明らかになった。
2. 訴訟リスクや事業の継続への対策
・善管注意義務違反や株主代表訴訟など、情報漏えいなどが発生した際に経営層が法的な責任を問われる恐れがある、法的リスクを考慮した具体的な準備や対策については、「できているともできていないとも言えない」を含めると、回答企業の77%が実施できていないことがわかった(図4)。
・ 回答企業の70%は、インターネットの遮断が数日間に及んだ場合の、事業上の継続・縮退のための手段を確保できていないことがわかった(図5)。
3. サイバーセキュリティ対策への投資額
・サイバーセキュリティ対策に対する「1年間の投資額」について、回答企業の40%が1,000万円以上を投資することがわかった。さらに、7.2%の企業は1億円以上を投資している(図6)。
・30.5%の企業が、2017年度の投資額は前年度に比べ増加すると回答した。さらに、5.5%の企業は、前年度に比べ5割以上増加すると回答している(図7)。
