1. 年間被害額は前年の平均2億1,050万円を超え過去最高の平均2億3,177万円
2016年の1年間に経験したセキュリティインシデントについて調査したところ、全体の約41.9%が、個人情報や内部情報の漏えい、ランサムウェアによるデータ暗号化、金銭詐欺などのセキュリティインシデントによる重大被害を経験していることがわかった。また、年間被害額は前年の平均2億1,050万円を超え、平均2億3,177万円と過去最高という結果になった。
セキュリティインシデントによる重大被害の上位は、1位「従業員・職員に関する個人情報の漏えい」(14.2%)、2位「顧客に関する個人情報の漏えい」(10.0%)、3位「業務提携先情報の漏えい」(8.1%)など、何らかの情報漏えい・流出被害を経験している法人組織が、31.1%に上ることが明らかになった。
個人情報保護法や割賦販売法の改正、2018年5月施行を控えたEU一般データ保護規則(GDPR)の成立といった個人情報の取り扱いに関する動きが国内外である中で、深刻な数値といえる。また、近年猛威を振るっているランサムウェアによって7.6%がデータ暗号化の被害に遭い、取引先や経営幹部・上層部を偽ったビジネスメール詐欺による金銭詐欺被害には7.4%が遭っていることも明らかになった。
また、年間被害額が1億円を超える法人組織は、重大被害を経験した組織の29.4%で前年比4.1ポイント増加しており(前年25.3%)、原因究明・事実確認にかかる調査費用、対策の実施、損害賠償といったさまざまな事後対応費用を被害組織が支払っている実情が伺い知れる。
2.「ランサムウェア騒動」を受けて、法人組織の約4割がセキュリティ予算増加に奔走
WannaCryに代表される2016年以降のランサムウェア騒動を受けて、法人組織の22.5%がセキュリティ予算をすでに増加し、21.6%が予算増加に向けて調整段階にあると回答した。
何らかの重大被害を経験した組織ほど予算の増加意向は格段に高い(増加:40.5%、調整中:24.6%)傾向にある一方、重大被害/インシデント未経験の組織でも、2割以上が予算の増加傾向(増加:7.4%、調整中:17.5%)にあることが明らかになった。世間を騒がせるランサムウェアが事業継続を脅かす深刻な脅威として認知され、法人組織がセキュリティ投資にやや前向きになり始めていることが推測できる。
3. 進まない経営層・上層部のセキュリティへの理解・関与、進まない法規制ガイドラインへの対応
セキュリティ上の脅威を事業継続・組織運営を脅かすリスクとして認識している経営層・上層部は、全体の32.1%と前年の31.1%と比較して、ほとんど変化がなかった。経営層・上層部が自組織のセキュリティ対策に積極的に関与している割合も、全体の26.5%にとどまった。
セキュリティ対策に関する意思決定者・関与者のリスク認識レベルも決して高くなく、サイバー攻撃の脅威が法人組織にとって一層深刻になる一方で、法人組織の多くでサイバーリスクに対する認識が高まらない現状が浮き彫りになっている。経営層・上層部のサイバーセキュリティに対する理解度、関与度はセキュリティ対策レベルにも相関があることがわかっており、経営層・上層部の理解度、関与度を高めることがセキュリティ対策レベルの向上に重要。
昨今、制定、改正された法規制ガイドラインを、自組織のセキュリティ対策に十分反映させている法人組織の割合も依然として少ない状況だ。例えば、改正個人情報保護法(2015年9月成立)については34.5%を占めているが、改正割賦販売法(2016年12月成立)、EU一般データ保護規則(GDPR、2016年4月成立)については、それぞれ、全体の13.0%、15.0%にとどまる結果となった。
ビジネスにおける個人情報の利活用が進む一方で、個人情報を狙うサイバー攻撃は世界的にもとどまるところ知らないのが現状。このような背景から、セキュリティ対策の義務化に加えて過失には厳格な罰則規定のある法規制も出てきており、法規制への理解度と対応を高める、そのうえで各種ガイドライン対策強化の土台とすることが急務といえる。
