トレンドマイクロ、「法人組織におけるセキュリティ実態調査2018年版」を発表
- 2018/12/25 10:00
- SecurityInsight
トレンドマイクロは12月19日、日本国内の官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者を対象にして9月に実施した、セキュリティインシデントによる被害とセキュリティ対策の実態を明らかにする調査「法人組織におけるセキュリティ実態調査2018年版」の調査結果を発表した。その概要は以下のとおり。
1.重大被害発生率は過去最高の42.3%に達し、年間平均被害額は3年連続2億円超え
国内法人組織の42.3%が2017年の1年間にセキュリティインシデントに起因した重大被害を経験していた。また、原因究明を目的とした調査費用や、改善策の導入、損害賠償といったさまざまな事後対応費用を含む年間被害額は、平均2億1,153万円となり過去3年連続で2億円を超えた。
経験したセキュリティインシデントによる重大被害の上位3位は昨年と同様の結果となり、「従業員・職員に関する個人情報漏洩」(16.2%)、「顧客に関する個人情報漏洩」(11.2%)、「業務提携先情報の漏洩」(8.7%)と続き、情報漏洩が法人組織において依然として大きな問題になっていることが分かった。
ビジネスメール詐欺による「経営幹部・上層部を装った金銭詐欺」は4.1%、「取引先を装った金銭被害」は3.7%を占め、いずれかの金銭被害に遭っているのは6.9%に上った。
さらに、セキュリティインシデントによる重大被害の経験割合を従業員規模別、地方別、業種別で分析したところ、データにばらつきは見られるものの、さまざまな規模、地域、業種において被害に遭っていることが分かった。
年間被害額は前年の2億3,177万円と比較してみると2,024万円の減少にはなったが、過去3年連続で2億円を超えており、インシデント対応にかかるコストも高止まりの状況。また年間被害額が1億円を超える法人組織は26.2%を占め、2017年の29.4%、2016年の25.3%と比較しても大きな変動は見られず、重大な被害に直面した際に法人組織が負担するコストが大きい状況であることがうかがわれる。
2.変わらない「経営層のサイバーリスク認識」と「法規制への理解と対応」
サイバーセキュリティに関する問題を事業継続上、組織運営上のリスクとして経営層が「十分認識している」と回答したのは全体の31.4%に留まった。過去2年間のデータと比較してみても、認識に大きな変化は見られない。
また、近年サイバーセキュリティや個人情報保護に関連したさまざまな法規制が国内外で整備されていく中で、「その内容を理解した上でセキュリティ対策に十分に反映させている」と回答している割合も過去3年間の調査結果を通して、大きな変化が見られない。
今年5月に施行されたEU一般データ保護規則(GDPR)に関しても、施行前の2017年調査結果(2017年6月実施)と比較しても施行後の2018年の調査結果(2018年9月実施)との大きな変化は見られず、対策が進んでいないことが明らかになった。
重大な被害につながるセキュリティインシデントを経験する法人組織の割合が増加傾向にある中で、変わらない経営層のリスク認識や進まない法規制への対応が、組織全体のリスク軽減やセキュリティレベル向上を妨げる要因の一つになっている可能性がうかがわれる。
3.増加傾向にある業種特有環境でのセキュリティインシデント発生率
2017年の1年間に通常の情報系ネットワークとは異なる業種特有の環境において、ウイルス感染や内部犯行などを含むさまざまなセキュリティインシデントが発生した法人組織の割合は平均34.0%となり、過去3年間、継続して増加傾向になった。
業界別にみても、医療、金融、製造などさまざまな特有の環境においてセキュリティインシデント発生率が増加傾向にあった。これまで業種特有の多くの環境はインターネットに接続されていないクローズド環境のためセキュリティリスクは低いと考えられていた。しかし、これまで以上にリスクが高くなってきていることがこの調査結果からうかがえ、クローズド環境の安全神話が崩れ、さまざまな業種の企業におけるIoTへの取り組みが進む中で、セキュリティ対策がこれまで以上に重要となることを改めて裏付ける結果と言える。