近年、企業を標的としたサイバー攻撃による被害が増加傾向にあり、機密情報や顧客情報といった重要情報を盗み出し、2次的に悪用される被害も増加傾向にある。デジタルアーツ<2326>は、全国の企業に勤める従業員1,104名、情報システム管理者332名を対象に、勤務先における標的型攻撃の意識・実態調査を実施した。この調査は2015年10月に第1回目となる調査を発表し、今回で2回目となる。
それによると、標的型攻撃と聞いて思い浮かべる内容は、「ウイルスに感染して会社のPCが遠隔操作される」51.4%、「添付ファイルがある不審なメールが送られてくる」48.9%、「外部から会社のWebサイトが改ざんされる」43.2%。勤務先が標的型攻撃の対象になりうるという意識は、「ある」45.3%、「わからない」30.7%、「ない」24.0%だった。
普段から気をつけていることは、「知らない送信者からのメールの添付ファイルは開封しない」70.0%、「不審なWEBサイトを閲覧しない」43.0%、「会社で認められていないソフトをインストールしない」41.0%。
業務上でメールをやり取りする際に使用する端末は、「会社支給のデスクトップPC」46.1%、「会社支給のノートPC」37.9%、「私用のスマートフォン」13.6%。
勤務先で情報セキュリティに関するルールは、「ある」60.7%、「ない」31.3%、「答えられない」8.0%と回答し、情報セキュリティに関する社内研修受講経験は「受けたことはない」58.1%、「同じ勤務先の専門部署による講習を受けた」29.6%、「外部の専門機関・専門スタッフの講習を受けた」5.8%と回答した。
昨今の情報セキュリティ事件が社会問題化している風潮を受け、最近の勤務先の情報セキュリティ対策は、「変わらない」38.9%、「少し厳しくなった」30.7%、「だいぶ厳しくなった」29.8%と、60.5%が「厳しくなった」と回答した。
勤務先が標的型攻撃の対象になりうるという意識は、「ある」69.9%、「ない」19.0%、「わからない」11.1%だった。
標的型攻撃に遭遇した場合に勤務先での致命的な想定被害は、「顧客情報が漏洩する」58.4%、「人事関連・従業員の情報が漏洩する」28.9%、「知財・技術情報が漏洩する」26.8%だった。
標的型攻撃で被害を受けた後、想定している事後対応策は、「顧客への謝罪」54.2%、「再発防止策の策定作業」・「被害状況の調査」49.1%、「顧客への補償・補填」40.1%を検討。
現在行っている対策は、「ウイルス対策」75.9%、「ファイアウォール」65.4%、「メールフィルタリング」47.6%。今後のセキュリティ対策について、「更に高めたい」75.0%、「現状維持で良い」24.4%と考え、具体策としては、「ウイルス対策」55.8%、「ファイアウォール」53.0%、「従業員への情報セキュリティ教育」・「Webフィルタリング」38.2%を検討、という結果となった。(編集担当:慶尾六郎)