法人組織におけるセキュリティ実態調査2019年版を発表

~約4割が重大被害を経験、年間平均被害総額は4年連続2億円超え~

2019年10月15日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長兼CEO:エバ・チェン、東証一部:4704 以下、トレンドマイクロ)は、日本国内の官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者を対象に、セキュリティインシデントによる被害とセキュリティ対策の実態を明らかにする調査「法人組織におけるセキュリティ実態調査 2019年版」を2019年6月に実施しました。調査結果は以下の通りです※1
※1 調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値です。

「法人組織におけるセキュリティ実態調査 2019年版」詳細はこちら
 

1.    約4割が重大被害を経験、年間平均被害額は4年連続2億円超え
国内法人組織の36.3%が2018年4月~2019年3月の1年間にセキュリティインシデントに起因した重大被害を経験したことが明らかになりました。昨年調査の42.3%から改善は見られたものの、未だ約4割で情報漏えいやデータの破壊などの重大被害が発生しています。原因究明のための調査費用、改善策の導入、損害賠償といった事後対応を含めた年間平均被害総額は約2.4億円となり、4年連続で2億円を超える結果となりました。

セキュリティインシデントに起因した重大被害の内容は上位5位が情報漏えいとなっており、依然として情報漏えいが法人組織における大きな問題になっています。例年「従業員・職員に関する個人情報」「顧客に関する個人情報」「業務提携先情報」の漏えいが上位を占めていることに加えて、今年は新たに「技術情報」「事業戦略に関する情報」の漏えいについても上位にあることから、法人組織は自組織の情報資産の保護を改めて見直す必要があるといえます。

セキュリティインシデントの発生率を規模別で見ると、規模が大きくなるにつれてインシデント発生率も比例して上昇する傾向が見られました。従業員規模50名~99名の法人組織におけるインシデント発生率は40.6%となった一方で、5,000名以上の法人組織では75.8%と大きな差が開いています。これは、中小規模の組織においてセキュリティ対策が十分でないことで、セキュリティインシデントの発生に気付けていない可能性があります。実際、セキュリティ対策実施状況をスコア化したものを規模別に見ると、5,000名以上の組織が100点満点中74.8点に対して50名~99名の組織では54.9点となっており、大規模の組織と比較すると中小規模の組織はセキュリティ対策が十分実施できていないことが分かります。昨今ではグループ会社や業務で関連する組織を攻撃し、それを足がかりに標的組織へ攻撃する「サプライチェーン攻撃」も発生していることから、規模の大きさを問わず全ての法人組織が改めてセキュリティ対策を見直す必要があります。

図1:セキュリティインシデントによる重大被害発生率(規模別)

図2:セキュリティインシデントによる重大被害発生率内訳(n=1,431、複数回答)

図3:セキュリティインシデント発生率(規模別)

図4:セキュリティ対策包括度スコア(規模別)

2.    改善が見られない経営層のリスク認識、法規制への理解と対応
法人組織における経営層・上層部のサイバーセキュリティに関するリスク認識を調査したところ、「事業継続上あるいは組織運営上のリスクとして十分認識している」と回答した割合は34.6%に留まりました。昨年調査の31.4%からわずかに増加しているものの、改善は依然として見られていません。さらに、経営層・上層部のセキュリティ対策への関与について「十分関与している」と答えた割合は25.4%となっており、経営層がセキュリティに十分関与できていない状況です。経営層・上層部は、セキュリティインシデントによる被害内容次第ではシステムやサービスの停止、ブランドイメージ・信用低下につながり自法人の事業に大きな影響をおよぼす可能性があることを理解し、セキュリティに対するリスク認識を改めることが求められます。

また、セキュリティ関連の法規制およびガイドラインに対する法人組織の理解度とセキュリティ対策への反映度についても大きな変化は見られていません。2019年にはEU一般データ保護規則(GDPR)によって制裁金が課される事例が複数あった一方で、同規則について「存在自体を知らない」「存在を知っているが内容については知らない」と回答した割合は25.5%となりました。今後国際イベントを控える日本では、EU一般データ保護規則(GDPR)を含む国内外の法規制やガイドラインを今一度確認したうえで、改めて対策への反映を検討することが重要といえます。

図5:情報セキュリティに関する経営層・上層部のリスク認識(n=1,431、単一回答)

図6:セキュリティ対策への関する経営層・上層部の関与度(n=1,431、単一回答)



3.    依然十分なセキュリティ対策の実施が進まない業種特有環境
業種特有環境におけるセキュリティ対策の実施度についても依然改善が見られません。セキュリティ対策実施状況を見ると、金融の業種特有環境についてはいずれも「十分セキュリティ対策が実施されている」と回答した割合が半数以上となる一方で、医療・製造・生産環境、運行管理システム環境等の重要システム環境、POSシステム・ネットワークはいずれも3割を下回っています。特に、セキュリティインシデント発生率が45.1%と高かった製造・生産環境においては「十分セキュリティ対策が実施されている」と回答した割合がわずか14.7%しかありません。これは、昨今では工場に対するサイバー攻撃が複数確認されていることからサイバーセキュリティ対策の必要性が徐々に浸透し、自法人のセキュリティ対策が十分でないと認識するようになってきたことが要因の一つと推測できます。

図7: セキュリティ対策の実施状況(業種特有環境別)

図8:セキュリティインシデント発生率(業種特有環境別)


■調査概要

  • 調査名:法人組織におけるセキュリティ実態調査 2019年版
  • 実施時期:2019年6月
  • 回答者:法人組織における情報セキュリティ対策の意思決定者、およびに意思決定関与者 計1,431人 (民間企業:1,132人、官公庁自治体:299人)
  • 手法:インターネット調査

 

  • 本リリースは、2019年10月15日現在の情報をもとに作成されたものです。今後、内容の全部もしくは一部に変更が生じる可能性があります。
  • TREND MICROは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。