法人組織の38.5%が「深刻なセキュリティインシデント」を2015年一年間に経験したという。トレンドマイクロ<4704>の調査で分かった。同社は官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者1,375名を対象に、セキュリティ被害と対策状況の実態を明らかにする調査「法人組織におけるセキュリティ対策 実態調査 2016年版」を2016年6月に実施した。
それによると、法人組織の38.5%(530名)が「個人情報の漏えい」や「生産・操業停止」など、ビジネスに影響を及ぼす「深刻なセキュリティインシデント」を2015年一年間に経験したと回答したという。「社員情報の漏えい(23.3%)」や「顧客情報の漏えい(19.4%)」に代表されるように、保有する個人情報が多くの法人組織で漏えいしている。この現況は、規模および地域に関係なく、国内の法人組織において見られることがわかった。
「深刻なセキュリティインシデント」発生時には短期的損失だけでなく、組織の社会的信用が損なわれ、結果として経営面への影響も中長期的に発生する。システムの復旧費用や売上機会損失、再発防止策や補償などの二次的、三次的な被害額も含めた年間被害総額は、平均2億1,050万円に上り、前年の平均被害総額1億3,105万円に対して約1.6倍と大幅に増加したという。
また、POSシステムや製造プラントなど業種特有の環境がインターネットにつながり始めている。非情報系システムにおける「サイバー攻撃」や「内部犯行」といったセキュリティインシデントは、調査対象システム平均で29.1%が2015年1月~2016年6月の間に経験したと回答した。「住基含む基幹系ネットワーク環境 (官公庁自治体:35.3%)」、「運行管理システム環境などの重要環境(運輸・交通・インフラ:35.2%)」、「インターネットバンキング環境 (金融:34.3%)」がインシデント発生率上位3位で、様々な業種特有の環境でセキュリティインシデントが発生していることがわかった。
一方で、これらの非情報系システムで「十分セキュリティ対策ができている」と回答しているのは、全対象システム平均で26.8%になることがわかりました。「どちらかというと十分セキュリティ対策ができている(42.7%)」を含めると69.5%がセキュリティ対策はできていると回答したが、非情報系のシステムにおいて「深刻なセキュリティインシデント」が発生した際には、事業継続性の観点で影響の規模や範囲が大きくなることが想定されるという。IoT(Internet of Things)のように様々なシステムがインターネットにつながり始める中で、業種特有の非情報系システムにおけるセキュリティはこれまで以上に重要になってくるとしている。
そして、法人組織において、技術面と組織面でセキュリティ対策がどれだけ網羅性をもって実施されているかを示すセキュリティ対策包括度は平均62.0点(技術的対策平均:39.7点、組織的対策平均:22.3点)と、前年の62.7点と比較すると横ばいであることがわかった。トレンドマイクロでは法人組織に最低限必要と考えられる対策レベルをベースラインスコア72点と定義しているが、その数値を依然大きく下回る結果となった。また、セキュリティ対策包括度を構成する技術的対策と組織的対策の平均点もそれぞれ前年比で大きな変化は見られなかったという。 (編集担当:慶尾六郎)