2016/09/14
防災・危機管理ニュース
トレンドマイクロ株式会社(本社:東京都渋谷区)は、官公庁自治体と民間企業の情報セキュリティ対策の意思決定者、意思決定関与者1375名を対象に、セキュリティ被害と対策状況の実態を明らかにする調査「法人組織におけるセキュリティ対策実態調査2016年版」を6月に実施し、12日に調査結果を発表した。
法人組織の38.5%(530名)が「個人情報の漏えい」や「生産・操業停止」など、ビジネスに影響を及ぼす「深刻なセキュリティインシデント」を2015年1年間に経験したと回答した。「社員情報の漏えい(23.3%)」や「顧客情報の漏えい(19.4%)」に代表されるように、保有する個人情報が多くの法人組織で漏えいしている(図1(※1))。この現況は、規模や地域に関係なく、国内の法人組織で見られることがわかった。
(※1) 2015年に何らかの「セキュリティインシデント」を経験した787名のうち、二次的、三次的な被害
があったと回答した530名を「深刻なセキュリティインシデント」の経験者と定義。
「深刻なセキュリティインシデント」発生時には短期的損失だけでなく、組織の社会的信用が損なわれ、結果として経営面への影響も中長期的に発生する。システムの復旧費用や売上機会損失、再発防止策や補償などの二次的、三次的な被害額も含めた年間被害総額は、平均2億1050万円に上り(図2)、前年の平均被害総額1億3105万円に対して約1.6倍と大幅に増加した。
写真を拡大 実害のあった人を対象に被害総額を質問
POSシステムや製造プラントなど業種特有の環境がインターネットにつながり始めている中、非情報系システムにおける「サイバー攻撃」や「内部犯行」といったセキュリティインシデントは、調査対象システム平均で29.1%が2015年1月~2016年6月の間に経験したと回答した。「住基含む基幹系ネットワーク環境 (官公庁自治体:35.3%)」、「運行管理システム環境などの重要環境(運輸・交通・インフラ:35.2%)」、「インターネットバンキング環境 (金融:34.3%)」がインシデント発生率上位3位で、様々な業種特有の環境でセキュリティインシデントが発生していることがわかった(図3)。
一方で、これらの非情報系システムで「十分セキュリティ対策ができている」と回答しているのは、全対象システム平均で26.8%。「どちらかというと十分セキュリティ対策ができている(42.7%)」を含めると69.5%がセキュリティ対策はできていると回答した(図4)が、非情報系のシステムにおいて「深刻なセキュリティインシデント」が発生した際には、事業継続性の観点で影響の規模や範囲が大きくなることが想定される。IoT(Internet of Things)のように様々なシステムがインターネットにつながり始める中で、業種特有の非情報系システムにおけるセキュリティはこれまで以上に重要になってくる。
写真を拡大 各nは、対象者から図3の「システムは保有していない」の回答者を除いた数
法人組織において、技術面と組織面でセキュリティ対策がどれだけ網羅性をもって実施されているかを示すセキュリティ対策包括度(※2)は、平均62.0点(技術的対策平均:39.7点、組織的対策平均:22.3点)と、前年の62.7点と比較すると横ばいであることがわかった。
(※2)セキュリティ製品やIT機器で行う「技術的対策」に関する質問16問と、組織の体制や取り組みとして行う「組織的対策」に関する質問10問の、計26問に対する回答を、それぞれの対策の重要度に応じて加重配点し、100点満点(技術的対策60点満点、組織的対策40点満点)換算でスコアリングした点数。
同社では、法人組織に最低限必要と考えられる対策レベルをベースラインスコア72点と定義しているが、その数値を依然大きく下回る結果となった。セキュリティ対策包括度を構成する技術的対策と組織的対策の平均点も、それぞれ前年比で大きな変化は見られなかった(図5)。
一方で、法人組織がセキュリティ関連の体制整備を最優先に進めている傾向が明らかになった。CSIRT(Computer Security Incident Response Team)やSOC(Security Operations Center)といった脅威の早期発見やインシデント対応を可能にする組織や、CIO(Chief Information Officer)、CISO(Chief Information Security Officer)、CSO(Chief Security Officer)などのセキュリティ関連の要職の設置状況も調査。
CSIRTとSOCの設置率は、それぞれ14.6%、14.3%と、2014年調査時の3.7%、3.0%と比較して10ポイント以上と大幅に増加。CIO、CISO、CSOの設置率は、それぞれ23.1%、 22.6%、 20.2%となった。設置予定・検討中を見ても、それぞれ24.7%(CIO)、25.4%(CISO)、26.9%(CSO)と、セキュリティに関する体制整備と舵を取る人材の必要性への理解が法人組織において進んでいると言える(図6)。
■調査概要
調査名: 法人組織におけるセキュリティ対策 実態調査 2016年版
実施時期: 2016年6月23日~2016年6月30日
回答者: 法人組織における情報セキュリティ対策の意思決定者、
およびに意思決定関与者 計1,375人
(民間企業:1,123人、官公庁自治体:252人)
手法: インターネット調査
(了)
防災・危機管理ニュースの他の記事
直近のセミナー・イベント
おすすめ記事
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/11/26
-
-
なぜ製品・サービスの根幹に関わる不正が相次ぐのか?
企業不正が後を絶たない。特に自動車業界が目立つ。燃費や排ガス検査に関連する不正は、2016年以降だけでも三菱自動車とスズキ、SUBARU、日産、マツダで発覚。2023年のダイハツに続き、今年の6月からのトヨタ、マツダ、ホンダ、スズキの認証不正が明らかになった。なぜ、企業は不正を犯すのか。経営学が専門の立命館大学准教授の中原翔氏に聞いた。
2024/11/20
-
-
ランサム攻撃訓練の高度化でBCPを磨き上げる
大手生命保険会社の明治安田生命保険は、全社的サイバー訓練を強化・定期実施しています。ランサムウェア攻撃で引き起こされるシチュエーションを想定して課題を洗い出し、継続的な改善を行ってセキュリティー対策とBCPをブラッシュアップ。システムとネットワークが止まっても重要業務を継続できる態勢と仕組みの構築を目指します。
2024/11/17
-
-
セキュリティーを労働安全のごとく組織に根付かせる
エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化に根付かせようと取り組んでいます。持ち株会社の日揮ホールディングスがITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進めます。
2024/11/08
-
-
-
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2024/11/05
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方