組織におけるセキュリティ対策実態調査 2014
2014年05月12日
トレンドマイクロは、2014年3月に、日本国内の企業・組織におけるセキュリティ被害と、対策状況の実態を明らかにする調査「組織におけるセキュリティ対策実態調査 2014」を実施しました。
本調査では、官公庁や自治体および企業など、従業員50名以上の組織における、情報セキュリティ対策に関する意思決定者および意思決定関与者1175名を対象に、組織内で実際に発生したセキュリティインシデントや、組織内で実施しているセキュリティ対策について質問しました。セキュリティ対策については、各回答を100点満点(技術的対策60点満点、組織的対策40点満点)換算でスコアリングし(※1)、回答者の組織において、技術的な対策と組織的な対策の両側面から包括的なセキュリティ対策がなされているか検証しました。
※1 セキュリティ製品やIT機器で行う「技術的対策」に関する質問16問と、組織の体制や取り組みとして行う「組織的対策」に関する質問10問の、計26問に対する回答を、それぞれの対策の重要度に応じて加重配点しスコアリング。
本調査において、全体の66.2%にあたる778名の回答者が、2013年の1年間において組織内で何らかのセキュリティインシデントが発生したと回答しました。また、インシデントを経験した組織のうち53.7%が、そのインシデントをきっかけに、データ破損・損失や社員情報の漏えい、システム・サービス停止といった実害を被っていたことが明らかになりました。「顧客・取引先との関係が悪化した」、「賠償問題や訴訟にまで発展した」、「株価への影響が見られた」、など、ビジネスに大きな影響を及ぼすケースも実際に発生していることがわかりました。
セキュリティ対策の実態に関しては、回答者全体の平均で58.5点(技術的対策平均37.8点、組織的対策平均20.7点)というスコアになりました。これは、トレンドマイクロが定める、企業・組織に最低限必要と考えられる包括的対策のベースラインスコアである72点を大きく下回るスコアです。
対策度の平均スコアを業界別に見ると、対策実施上位業界から「情報サービス・通信プロバイダー: 75.3点」、「金融: 71.3点」、「官公庁自治体: 66.1点」と、比較的対策が実現できている業界でも、ベースライン前後のスコアにとどまっています。下位業界では、「福祉・介護: 45.2点」「医療: 52.1点」、「サービス: 52.4点」と、業界別に対策実施度合に開きがあることがわかりました。
本調査では、さらに社内ネットワーク上のクライアントやサーバに対して、総合的なセキュリティ対策が施されている割合や、ネットワークにおける各種対策(ファイアウォール、IDS/IPS、UTM、次世代ファイアウォールなど)の実施率も明らかにしています。その結果、多機能型総合セキュリティソフトの利用率は20%未満、ネットワークにおいて依然としてファイアウォールによる対策しか行っていない組織も26.3%と、旧来からのセキュリティ対策の実施にとどまり、多様化・巧妙化するサイバー攻撃に対する有効な対策の導入が進んでいないことがわかりました。
セキュリティ対策を行ううえでの課題としては、「投資の効果が見えにくい: 66.0%」、「社員のリテラシー・意識が低い: 59.1%」、「予算がない・足りない: 55.8%」、「投資の必要性を上層部に説得する材料に欠けている: 53.2%」、「対策に必要な人材が足りない: 52.0%」などが挙げられています。セキュリティ対策への投資、人材の育成・確保、従業員のリテラシー向上が、効果的なセキュリティ対策を実現するうえで課題となっていることが浮き彫りになりました。
【調査概要】
・調査名:組織におけるセキュリティ対策実態調査2014
・実施時期:2014年3月28日~2014年3月31日
・回答者:企業・組織における、情報セキュリティ対策に関する意思決定者、ならびに意思決定に寄与する立場の者 計1,175名
・手法:インターネット調査
その他、詳しいリサーチ内容はネタ元へ
本調査では、官公庁や自治体および企業など、従業員50名以上の組織における、情報セキュリティ対策に関する意思決定者および意思決定関与者1175名を対象に、組織内で実際に発生したセキュリティインシデントや、組織内で実施しているセキュリティ対策について質問しました。セキュリティ対策については、各回答を100点満点(技術的対策60点満点、組織的対策40点満点)換算でスコアリングし(※1)、回答者の組織において、技術的な対策と組織的な対策の両側面から包括的なセキュリティ対策がなされているか検証しました。
※1 セキュリティ製品やIT機器で行う「技術的対策」に関する質問16問と、組織の体制や取り組みとして行う「組織的対策」に関する質問10問の、計26問に対する回答を、それぞれの対策の重要度に応じて加重配点しスコアリング。
本調査において、全体の66.2%にあたる778名の回答者が、2013年の1年間において組織内で何らかのセキュリティインシデントが発生したと回答しました。また、インシデントを経験した組織のうち53.7%が、そのインシデントをきっかけに、データ破損・損失や社員情報の漏えい、システム・サービス停止といった実害を被っていたことが明らかになりました。「顧客・取引先との関係が悪化した」、「賠償問題や訴訟にまで発展した」、「株価への影響が見られた」、など、ビジネスに大きな影響を及ぼすケースも実際に発生していることがわかりました。
セキュリティ対策の実態に関しては、回答者全体の平均で58.5点(技術的対策平均37.8点、組織的対策平均20.7点)というスコアになりました。これは、トレンドマイクロが定める、企業・組織に最低限必要と考えられる包括的対策のベースラインスコアである72点を大きく下回るスコアです。
対策度の平均スコアを業界別に見ると、対策実施上位業界から「情報サービス・通信プロバイダー: 75.3点」、「金融: 71.3点」、「官公庁自治体: 66.1点」と、比較的対策が実現できている業界でも、ベースライン前後のスコアにとどまっています。下位業界では、「福祉・介護: 45.2点」「医療: 52.1点」、「サービス: 52.4点」と、業界別に対策実施度合に開きがあることがわかりました。
本調査では、さらに社内ネットワーク上のクライアントやサーバに対して、総合的なセキュリティ対策が施されている割合や、ネットワークにおける各種対策(ファイアウォール、IDS/IPS、UTM、次世代ファイアウォールなど)の実施率も明らかにしています。その結果、多機能型総合セキュリティソフトの利用率は20%未満、ネットワークにおいて依然としてファイアウォールによる対策しか行っていない組織も26.3%と、旧来からのセキュリティ対策の実施にとどまり、多様化・巧妙化するサイバー攻撃に対する有効な対策の導入が進んでいないことがわかりました。
セキュリティ対策を行ううえでの課題としては、「投資の効果が見えにくい: 66.0%」、「社員のリテラシー・意識が低い: 59.1%」、「予算がない・足りない: 55.8%」、「投資の必要性を上層部に説得する材料に欠けている: 53.2%」、「対策に必要な人材が足りない: 52.0%」などが挙げられています。セキュリティ対策への投資、人材の育成・確保、従業員のリテラシー向上が、効果的なセキュリティ対策を実現するうえで課題となっていることが浮き彫りになりました。
【調査概要】
・調査名:組織におけるセキュリティ対策実態調査2014
・実施時期:2014年3月28日~2014年3月31日
・回答者:企業・組織における、情報セキュリティ対策に関する意思決定者、ならびに意思決定に寄与する立場の者 計1,175名
・手法:インターネット調査
その他、詳しいリサーチ内容はネタ元へ
[トレンドマイクロ]
