法人組織におけるセキュリティ対策 実態調査 2016年版(情報セキュリティ対策の意思決定者、およびに意思決定関与者対象) 

2016年09月12日
トレンドマイクロは、官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者1,375名を対象に、セキュリティ被害と対策状況の実態を明らかにする調査「法人組織におけるセキュリティ対策 実態調査 2016年版」を2016年6月に実施しました。

【調査結果】

1.約4割が情報漏えいなどの「深刻なセキュリティインシデント」を経験
年間被害総額は平均2億1,050万円と前年比約1.6倍の大幅な増加


法人組織の実に38.5%(530名)が「個人情報の漏えい」や「生産・操業停止」など、ビジネスに影響を及ぼす「深刻なセキュリティインシデント」を2015年一年間に経験したと回答しました。「社員情報の漏えい(23.3%)」や「顧客情報の漏えい(19.4%)」に代表されるように、保有する個人情報が多くの法人組織で漏えいしています(図1(※2))。この現況は、規模および地域に関係なく、国内の法人組織において見られることがわかりました。

(※2) 2015年に何らかの「セキュリティインシデント」を経験した787名のうち、二次的、三次的な被害があったと回答した530名を「深刻なセキュリティインシデント」の経験者と定義。

「深刻なセキュリティインシデント」発生時には短期的損失だけでなく、組織の社会的信用が損なわれ、結果として経営面への影響も中長期的に発生します。システムの復旧費用や売上機会損失、再発防止策や補償などの二次的、三次的な被害額も含めた年間被害総額は、平均2億1,050万円に上り(図2)、前年の平均被害総額1億3,105万円に対して約1.6倍と大幅に増加しました。

(※3) 実害のあった方を対象に被害総額を質問。

2.非情報系システムにおけるセキュリティインシデント発生率は29.1%
十分なセキュリティ対策実施は26.8%と3割にも満たないことが明らかに


POSシステムや製造プラントなど業種特有の環境がインターネットにつながり始めています。非情報系システムにおける「サイバー攻撃」や「内部犯行」といったセキュリティインシデントは、調査対象システム平均で29.1%が2015年1月~2016年6月の間に経験したと回答しました。「住基含む基幹系ネットワーク環境 (官公庁自治体:35.3%)」、「運行管理システム環境などの重要環境(運輸・交通・インフラ:35.2%)」、「インターネットバンキング環境 (金融:34.3%)」がインシデント発生率上位3位で、様々な業種特有の環境でセキュリティインシデントが発生していることがわかりました(図3)。

一方で、これらの非情報系システムで「十分セキュリティ対策ができている」と回答しているのは、全対象システム平均で26.8%になることがわかりました。「どちらかというと十分セキュリティ対策ができている(42.7%)」を含めると69.5%がセキュリティ対策はできていると回答しました(図4)が、非情報系のシステムにおいて「深刻なセキュリティインシデント」が発生した際には、事業継続性の観点で影響の規模や範囲が大きくなることが想定されます。IoT(Internet of Things)のように様々なシステムがインターネットにつながり始める中で、業種特有の非情報系システムにおけるセキュリティはこれまで以上に重要になってきます。

(※4) 各nは、対象者から図3の「システムは保有していない」の回答者を除いた数。

3.セキュリティ対策包括度は昨年と横ばいの平均62.0点
セキュリティ関連の体制整備と役職設置が最優先の注力領域に


法人組織において、技術面と組織面でセキュリティ対策がどれだけ網羅性をもって実施されているかを示すセキュリティ対策包括度(※5)は平均62.0点(技術的対策平均:39.7点、組織的対策平均:22.3点)と、前年の62.7点と比較すると横ばいであることがわかりました。トレンドマイクロでは法人組織に最低限必要と考えられる対策レベルをベースラインスコア72点と定義していますが、その数値を依然大きく下回る結果となりました。また、セキュリティ対策包括度を構成する技術的対策と組織的対策の平均点もそれぞれ前年比で大きな変化は見られませんでした(図5)。

(※5) セキュリティ製品やIT機器で行う「技術的対策」に関する質問16問と、組織の体制や取り組みとして行う「組織的対策」に関する質問10問の、計26問に対する回答を、それぞれの対策の重要度に応じて加重配点し、100点満点(技術的対策60点満点、組織的対策40点満点)換算でスコアリングした点数。

一方で、法人組織がセキュリティ関連の体制整備を最優先に進めている傾向が明らかになりました。CSIRT(Computer Security Incident Response Team)やSOC(Security Operations Center)といった脅威の早期発見やインシデント対応を可能にする組織や、CIO(Chief Information Officer)、CISO(Chief Information Security Officer)、CSO(Chief Security Officer)などのセキュリティ関連の要職の設置状況も調査しました。CSIRTとSOCの設置率は、それぞれ14.6%、14.3%と、2014年調査時の3.7%、3.0%と比較して10ポイント以上と大幅に増加しました。また、CIO、CISO、CSOの設置率は、それぞれ23.1%、 22.6%、 20.2%となりました。設置予定・検討中を見ても、それぞれ24.7%(CIO)、25.4%(CISO)、26.9%(CSO)と、セキュリティに関する体制整備と舵を取る人材の必要性への理解が法人組織において進んでいると言えます(図6)。


【調査概要】
・調査名:法人組織におけるセキュリティ対策 実態調査 2016年版
・実施時期:2016年6月23日~2016年6月30日
・回答者:法人組織における情報セキュリティ対策の意思決定者、およびに意思決定関与者 計1,375人 (民間企業:1,123人、官公庁自治体:252人)
・手法:インターネット調査

詳しいリサーチ内容はネタ元へ
[トレンドマイクロ]
 マイページ TOP