国内法人組織におけるセキュリティ実態調査 2017年版を発表

~約4割がセキュリティの重大被害を経験、年間被害額は過去最高の平均2億3,177万円~

2017年9月13日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長兼CEO:エバ・チェン、東証一部:4704 以下、トレンドマイクロ)は、官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者1,361名を対象に、セキュリティ被害と対策状況の実態を明らかにする調査「法人組織におけるセキュリティ実態調査 2017年版」を2017年6月に実施しました。調査結果は以下の通りです※1

※1 調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値です。

「法人組織におけるセキュリティ実態調査 2017年版」詳細: http://www.go-tm.jp/sor2017

1. 国内法人組織の約4割が個人情報漏えいなどのセキュリティの重大被害を経験、年間被害額は、前年の平均2億1,050万円を超え過去最高の平均2億3,177万円

2016年の1年間に経験したセキュリティインシデントについて調査したところ、全体の約41.9%が、個人情報や内部情報の漏えい、ランサムウェアによるデータ暗号化、金銭詐欺などのセキュリティインシデントによる重大被害を経験していることがわかりました。また、年間被害額は前年の平均2億1,050万円を超え、平均2億3,177万円と過去最高という結果になりました。
セキュリティインシデントによる重大被害の上位は、1位「従業員・職員に関する個人情報の漏えい」(14.2%)、2位「顧客に関する個人情報の漏えい」(10.0%)、3位「業務提携先情報の漏えい」(8.1%)など、何らかの情報漏えい・流出被害を経験している法人組織が、31.1%に上ることが明らかになりました。個人情報保護法や割賦販売法の改正、2018年5月施行を控えたEU一般データ保護規則(GDPR)の成立といった個人情報の取り扱いに関する動きが国内外である中で、深刻な数値と言えます。また、近年猛威を振るっているランサムウェアによって7.6%がデータ暗号化の被害に遭い、取引先や経営幹部・上層部を偽ったビジネスメール詐欺による金銭詐欺被害には7.4%が遭っていることも明らかになりました。

図1:セキュリティインシデントによる重大被害 経験割合(n=1361)

また年間被害額が1億円を超える法人組織は、重大被害を経験した組織の29.4%で前年比4.1ポイント増加しており(前年25.3%)、原因究明・事実確認にかかる調査費用、対策の実施、損害賠償といった様々な事後対応費用を被害組織が支払っている実情が伺い知れます。

図2: 重大被害を経験した組織での年間被害額(n=2017年:570、2016年:530)

2.「ランサムウェア騒動」を受けて、法人組織の約4割がセキュリティ予算増加に奔走

WannaCryに代表される2016年以降のランサムウェア騒動を受けて、法人組織の22.5%がセキュリティ予算をすでに増加し、21.6%が予算増加に向けて調整段階にあると回答しました。何らかの重大被害を経験した組織ほど予算の増加意向は格段に高い(増加:40.5%、調整中:24.6%)傾向にある一方、重大被害/インシデント未経験の組織でも、2割以上が予算の増加傾向(増加:7.4%、調整中:17.5%)にあることが明らかになりました。世間を騒がせるランサムウェアが事業継続を脅かす深刻な脅威として認知され、法人組織がセキュリティ投資にやや前向きになり始めていることが推測できます。

図3:2016年以降のランサムウェア騒動に起因したセキュリティ予算増加状況(n=1361)

3.進まない経営層・上層部のセキュリティへの理解・関与、進まない法規制ガイドラインへの対応

セキュリティ上の脅威を事業継続・組織運営を脅かすリスクとして認識している経営層・上層部は、全体の32.1%と前年の31.1%と比較して、ほとんど変化がありませんでした。経営層・上層部が自組織のセキュリティ対策に積極的に関与している割合も、全体の26.5%にとどまりました。セキュリティ対策に関する意思決定者・関与者のリスク認識レベルも決して高くなく、サイバー攻撃の脅威が法人組織にとって一層深刻になる一方で、法人組織の多くでサイバーリスクに対する認識が高まらない現状が浮き彫りになっています。経営層・上層部のサイバーセキュリティに対する理解度、関与度はセキュリティ対策レベルにも相関があることがわかっており、経営層・上層部の理解度、関与度を高めることがセキュリティ対策レベルの向上に重要です。

昨今制定、改正された法規制ガイドラインを、自組織のセキュリティ対策に十分反映させている法人組織の割合も依然として少ない状況です。例えば、改正個人情報保護法(2015年9月成立)については34.5%を占めていますが、改正割賦販売法(2016年12月成立)、EU一般データ保護規則(GDPR、2016年4月成立)については、それぞれ、全体の13.0%、15.0%にとどまる結果となりました。ビジネスにおける個人情報の利活用が進む一方で、個人情報を狙うサイバー攻撃は世界的にもとどまるところ知らないのが現状です。このような背景から、セキュリティ対策の義務化に加えて過失には厳格な罰則規定のある法規制も出てきており、法規制への理解度と対応を高める、そのうえで各種ガイドライン対策強化の土台とすることが急務といえます。

図4:法規制ガイドライン理解度・対策反映度(n=1361)

調査概要

調査名:法人組織におけるセキュリティ実態調査 2017年版
実施時期:2017年6月27日~6月30日
回答者:法人組織における情報セキュリティ対策の意思決定者、およびに意思決定関与者 計1,361人 (民間企業:1,100人、官公庁自治体:261人)
手法:インターネット調査

本リリースは、2017年9月13日現在の情報をもとに作成されたものです。今後、価格の変更、仕様の変更、バージョンアップ等により、内容の全部もしくは一部に変更が生じる可能性があります。TREND MICROは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。