- About Trend Micro
- プレスリリース
- 「組織におけるセキュリティ対策 実態調査2015年版」 結果を発表
国内の企業・組織が直面する、セキュリティ被害と対策の実態を明らかに「組織におけるセキュリティ対策 実態調査2015年版」 結果を発表
~約7割が過去1年間にセキュリティインシデントを経験、 マイナンバー制度開始に伴うITシステム「対応完了」はわずか4.3%~
2015年6月3日
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン、東証一部:4704、以下、トレンドマイクロ)は日本国内の法人組織におけるセキュリティ被害と、対策状況の実態を明らかにする調査「組織におけるセキュリティ対策実態調査 2015年版」を2015年3月に実施しました。本調査では、官公庁自治体および民間企業など、従業員50名以上の法人組織における、情報セキュリティ対策に関する意思決定者および意思決定関与者1,340名を対象に、組織内で実施しているセキュリティ対策について質問しました。セキュリティ対策については、回答を100点満点(技術的対策60点満点、組織的対策40点満点)換算でスコアリングし(※1)、回答者の組織において、技術、組織の両側面から包括的なセキュリティ対策がなされているか検証しました。
※1 セキュリティ製品やIT機器で行う「技術的対策」に関する質問16問と、組織の体制や取り組みとして行う「組織的対策」に関する質問10問の、計26問に対する回答を、それぞれの対策の重要度に応じて加重配点しスコアリング。
●2015年セキュリティ対策包括度は平均で62.7点。内部犯行を意識した対策を強化
セキュリティ対策包括度は、回答者全体の平均で62.7点(技術的対策平均40.0点、組織的対策平均22.7点)というスコアになりました。これは、対前年比で4.2点のポイントアップになっているものの、トレンドマイクロが定める、法人組織に最低限必要と考えられる包括対策のベースラインスコアである72点を依然大きく下回る結果となりました。
対策度の平均スコアを業種/組織別に見ると、対策実施上位業種は昨年同様、「情報サービス・通信プロバイダー:77.0点(前年比1.7点増)」、「金融:72.3点(前年比1.0点増)」の2業種です(※2)。セキュリティ対策が全体的に強化されている傾向ではあるものの、ベースラインに満たない業種・組織が多数存在することが分かりました(図1)。
※2 中央省庁、都道府県庁、市区町村役所、その他団体、出版・放送・印刷は100サンプル未満のため参考値。
具体的な実施対策として前年と比較して増加が一番大きく見られたのは、組織的対策にあたる「社員教育を定期的あるいは随時行っている」で、前年比7.3ポイント増となり、全体の36.5%の回答者が実施したと回答しました。続いて「監査の定期的実施38.9%(前年比6.0ポイント増)」、「注意喚起を定期的あるいは随時している29.3%(前年比4.6ポイント増)」の回答が増え、対策が強化された項目のトップ3を組織的対策が占めました。「情報漏えい対策製品の利用49.3%(前年比4.3ポイント増)」や「従業員向けガイドラインの策定と定期的見直し32.8%(前年比3.9ポイント増)」などの項目における増加傾向も鑑みると、近年の内部犯行による事例などの影響を受け、企業・組織内において情報セキュリティに対するリテラシー向上や組織体制強化といった分野が注目され、対策が施された結果と推測されます(図2)。
●約7割が過去1年間にセキュリティインシデントを経験、約2割がインシデント発生時の被害総額は1億円以上と回答
本調査において、全体の66.6%にあたる892名の回答者が、2014年の1年間において「組織内でウイルス感染」、「システムからの情報漏えい」、「不正ログイン」など何らかのセキュリティインシデントが発生したと回答しました。これは前年値66.2%から0.4ポイント増加とほぼ横ばいとなり、依然として約7割という高い割合の企業・組織がセキュリティインシデントを経験していることが明らかになりました。また、インシデントを経験した892名のうち実害が発生したと回答した回答者467名に、その場合の被害総金額(※3)を質問したところ、40.5%が1,000万円未満と回答する一方で、16.9%と2割近い回答者が1億円以上と回答し、深刻な被害に繋がっているケースもあることが分かりました。また、23.1%が被害額の見当がつかないと回答するなど、被害額が把握できていない企業・組織が約4社に1社の割合で存在することが分かりました(図3)。
※3 被害総金額とは、システムの復旧、システム停止中の業務効率低下、売上機会の損失などの直接被害に対応した費用に加え、再発防止策構築のための費用や、イメージ損傷、信頼度下落、株価下落、法的補償など二次的な被害の対応費用も含むトータルの金額を指しています。
●マイナンバー制度開始に伴うITシステム「対応完了」はわずか4.3%、遅れるマイナンバー対策
2016年1月から運用開始されるマイナンバー制度について、「マイナンバーの名称を知っている」または「制度についても理解している」と回答した1,212名を対象にITシステムの対応状況を質問したところ、「完了している」との回答がわずか4.3%を占め、全体的にまだ対応未完了であることが分かりました(図4)。
さらに、1,212名の回答者のうち、マイナンバー制度開始に伴うセキュリティ対策については、25.8%が「セキュリティを強化する予定」と回答しました。一方で「何も決まっていない(38.5%)」との回答が最も多く占めており、対応について未着手の企業・組織が多く存在していることが明らかになりました(図5)。
昨年1年間で何かしらのセキュリティインシデントが発生したと過半数以上の66.6%が回答したデータからも分かるように、セキュリティインシデントはもはや対岸の火事ではありません。企業・組織においては万が一インシデントが発生した際の影響を整理し、必要なセキュリティ対策が適切に実施されているのかの見直し、それにともなうセキュリティ対策予算確保などの検討も必要です。
■調査の概要
- 調査名: 組織におけるセキュリティ対策実態調査2015年版
- 実施時期: 2015年3月27日~2015年3月31日
- 回答者: 企業・組織における、情報セキュリティ対策に関する意思決定者、ならびに意思決定に寄与する立場の者 計1,340人(企業(11業種):1,082人、官公庁や自治体(4組織):258人)
- 手法:インターネット調査
※ 設問によって異常値や入力ミスがみられる回答については、無回答として取り扱っています。
■調査結果 参考グラフ
●図1-a: 業界別、包括対策度平均スコア (n=1,340 括弧内数値は各母数)
(中央省庁、都道府県庁、市区町村役所、その他団体、出版・放送・印刷は100サンプル未満のため参考値)
●図1-b:業界別、包括対策度平均スコア (2015年対2014年比較)
(業種/組織別対策順位*は100サンプル未満のため参考値。なお「官公庁自治体平均」は、「中央省庁」、「都道府県庁」、「市区町村役所」、「その他団体」で構成。)
●図2:強化実施対策トップ10 (n=1,340)
●図3:2014年セキュリティインシデントによる年間被害総額 (n=467)
●図4:業界別マイナンバーに向けたITシステムの対応状況
(n=1,212:「マイナンバーの名称を知っている」または「制度についても理解している」と回答した回答者対象)
●図5:マイナンバー制度開始に伴うセキュリティ対策の施策
(n=1,212:「マイナンバーの名称を知っている」または「制度についても理解している」と回答した回答者対象)
※ TREND MICROは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。