トレンドマイクロ、「法人組織におけるセキュリティ実態調査2019年版」を発表
- 2019/10/17 10:00
- SecurityInsight
トレンドマイクロは10月15日、日本国内の官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者を対象に今年6月に実施した、セキュリティインシデントによる被害とセキュリティ対策の実態を明らかにする調査「法人組織におけるセキュリティ実態調査 2019年版」の調査結果を発表した。調査結果の概要は以下のとおり。
1.約4割が重大被害を経験、年間平均被害額は4年連続2億円超え
国内法人組織の36.3%が2018年4月~2019年3月の1年間にセキュリティインシデントに起因した重大被害を経験していた。昨年調査の42.3%から改善は見られたものの、いまだ約4割で情報漏えいやデータの破壊などの重大被害が発生している。原因究明のための調査費用、改善策の導入、損害賠償といった事後対応を含めた年間平均被害総額は約2.4億円となり、4年連続で2億円を超える結果となった。
セキュリティインシデントの発生率を規模別で見ると、規模が大きくなるにつれてインシデント発生率も比例して上昇する傾向が見られた。従業員規模50名~99名の法人組織におけるインシデント発生率は40.6%となった一方で、5,000名以上の法人組織では75.8%と大きな差が開いている。
これは、中小規模の組織においてセキュリティ対策が十分でないことで、セキュリティインシデントの発生に気付けていない可能性がある。実際、セキュリティ対策実施状況をスコア化したものを規模別に見ると、5,000名以上の組織が100点満点中74.8点に対して50名~99名の組織では54.9点となっており、大規模の組織と比較すると中小規模の組織はセキュリティ対策が十分実施できていないことが分かる。
2.改善が見られない経営層のリスク認識、法規制への理解と対応
法人組織における経営層・上層部のサイバーセキュリティに関するリスク認識について、「事業継続上あるいは組織運営上のリスクとして十分認識している」と回答した割合は34.6%に留まった。昨年調査の31.4%からわずかに増加しているものの、改善は依然として見られていない。
さらに、経営層・上層部のセキュリティ対策への関与について「十分関与している」と答えた割合は25.4%となっており、経営層がセキュリティに十分関与できていない状況となっている。
また、2019年にはEU一般データ保護規則(GDPR)によって制裁金が課される事例が複数あった一方で、同規則について「存在自体を知らない」「存在を知っているが内容については知らない」と回答した割合は25.5%だった。
3.依然十分なセキュリティ対策の実施が進まない業種特有環境
セキュリティ対策実施状況を見ると、金融の業種特有環境についてはいずれも「十分セキュリティ対策が実施されている」と回答した割合が半数以上となる一方で、医療・製造・生産環境、運行管理システム環境等の重要システム環境、POSシステム・ネットワークはいずれも3割を下回っている。
特に、セキュリティインシデント発生率が45.1%と高かった製造・生産環境においては「十分セキュリティ対策が実施されている」と回答した割合がわずか14.7%しかない。