『法人組織におけるセキュリティ実態調査-2016年版』から見えるもの
年間被害総額平均2億円
―セキュリティ被害はなぜ増え続けるのか

セキュリティ侵害による日本企業の年間被害総額は平均2 億1,050 万円にのぼる※1─。これは、トレンドマイクロが例年実施している「法人組織におけるセキュリティ実態調査」の2016年版が示すデータであり、2億円1,050 万円は前年調査の約1.6倍に相当するもの※2。サイバー攻撃への警戒感が強まる中で、なぜセキュリティ被害は拡大を続けるのか。果たして、状況打開の妙薬はあるのだろうか。実態調査を基に、それら疑問への解を考察する。

膨れ上がる金銭被害─平均2億円の被害が意味すること

トレンドマイクロの「法人組織におけるセキュリティ実態調査」は、官公庁自治体・民間企業などの法人組織を対象に例年実施されている。2016年版では、これら組織のセキュリティ対策に関する意思決定者、ならびに意思決定に関与する立場にある担当者を対象に2016年6月に調査が実施され、有効回答数(サンプル数)は1 ,375名に上る。

その調査(以下、2016年版調査と呼ぶ)結果でまず目に引くのが、図1 に示すセキュリティ侵害による法人組織の年間被害総額だ。これは、2015年一年間で深刻なセキュリティインシデントを経験した組織の被害額の平均を算出したもの。
被害総額の平均は実に2億1 ,050万円となり、前年度調査の約1 .6 倍に膨れ上がっている。また、従業員数5,000名以上の組織になると、被害総額平均は4億5,628万円に及び、従業員数50名~ 99名の組織の被害額平均も前年比約2.6倍の1 億3,802万円に達している(図1)。

図1 インシデント発生組織における年間被害総額-規模別 n=530

資料:トレンドマイクロ「法人組織におけるセキュリティ実態調査-2016年版」

言うまでもなく被害額は損失であり、組織の利益を直接圧迫するものだ。仮に組織の売上対利益率が5%から10%と想定すれば、2億円の損失をリカバーするのに40億円から20億円を売り上げなければならない計算になる。情報漏えいなどのセキュリティインシデントを発生させ、組織の信用・信頼が低下する中で、それだけの売上を上積みするのは簡単なことではないはずである。

「いったん重要情報の大量流出・漏えいといったインシデントに見舞われれば、被害者への慰謝料はもとより、事故に関する調査費用、事後対策のコンサルタント料など多くの出費がかさみます。加えて、信頼・信用の失墜による売上ダウンも予想され、事実、過去には顧客情報の流出によって巨額の特別損失の計上を余儀なくされた組織や、情報漏えいでショッピングサイトの長期閉鎖に追い込まれ、再開のメドが立てられずにいる企業もあります。その意味で、調査で得られた被害額は現在のセキュリティ被害の深刻な実態を表した数値と言えます。これを目安に自組織における損害の想定や被害発生のリスクを抑える施策を展開していただきたいと考えています」と、トレンドマイクロの上級セキュリティエバンジェリスト、染谷 征良は話す。

多くのインシデントが実害へとつながる─約4割が深刻なインシデントを経験

被害額の増大という流れの背後には、標的型サイバー攻撃やランサムウェア(身代金請求型ウイルス)をはじめとする昨今の脅威が、重要情報の窃取・漏えい、あるいはシステムの停止、データ破壊といった実害(つまりは、「深刻なセキュリティインシデント」)につながるケースが増えているという状況がある。

2016年版調査を見ると、法人組織における2015年一年間のインシデント発生率は57.2%と前年度調査に比べてやや目減りしている。ただし、ビジネスへの直接的なダメージを伴う深刻なセキュリティインシデントを経験している法人組織は、全体のおよそ4割(38.5%)に達している(図2)。さらに注目すべきはインシデントが発生した組織における実害発生率が前年度調査の52.4%から67.3%へと大幅に上昇していることだ。
「これは、インシデントがビジネス上の実害につながるケースが増えていることを表すものです。理由としては、標的型サイバー攻撃など昨今の脅威の傾向が、攻撃を受けていることに気づきにくく、気づいた時には手遅れになってしまう点が挙げられます。トレンドマイクロが対応したインシデント事案では、実に9割近くの組織が外部からの指摘によって初めて被害に気づいています※3。それが実害発生率の高まりにつながっているというわけです」と染谷は言う。

図2 深刻なセキュリティインシデントの発生率-規模別

資料:トレンドマイクロ「法人組織におけるセキュリティ実態調査-2016年版」

リスク拡大の主因─求められる経営者の意識改革

では、上述したような被害額の拡大や実害発生率の上昇は、何に起因した問題なのだろうか─。この問いかけに対し、染谷はこう答える。
「組織のセキュリティ対策に大きな影響を与えるのは経営層です。経営層がセキュリティを経営リスクとしてしっかりと認識していなければ、技術と組織の両面でセキュリティ対策が後手になり、結果としてリスクの拡大につながるのです」(染谷)。

染谷によれば、2016年版調査でも経営層の意識の違いによってセキュリティ対策の充実度に明確な差が出ることが明らかにされたという。例えば、「経営層がセキュリティを経営リスクとして十分に認識している」法人組織と、「セキュリティを経営リスクとして十分認識していない」法人組織を比べた場合、前者はIT投資におけるセキュリティ投資の比率が平均7.9%であるのに対し、後者のそれは平均3.4%。両者の間には2倍の開きがある。同様に、包括的なセキュリティ対策が講じられているかどうかを測るトレンドマイクロの指標「セキュリティ対策包括度」についても、前者の平均点は77.0点で、後者はその2分の1 にも満たない37.4点となっている(図3)。


図3 セキュリティ対策包括度-リスク認識別
経営層のリスク認識レベルでセキュリティ対策包括度を比較

※ セキュリティ製品やIT 機器で行う「技術的対策」に関する質問16問(60点満点)と、組織の体制や取り組みとして行う「組織的対策」に関する質問10問(40点満点)の、計26問(合計100点満点)に対する回答を、それぞれの対策の重要度に応じて加重配点しスコアリング
資料:トレンドマイクロ「法人組織におけるセキュリティ実態調査-2016年版」

2016年版調査では、「マイナンバー制度開始後、従業員のセキュリティ意識がどう変化したか」についても調べているが、結果、経営層がセキュリティを経営リスクとして十分に認識している法人組織は、その30.4%が「大きく変わった」と答えている。それに対し、経営層の認識が十分ではない法人組織は「大きく変わった」と回答した向きが10.9%でしかなく、前者と3倍近い開きが出ている。
「このように、セキュリティ対する経営層の認識や姿勢は、技術上の対策だけではなく、セキュリティに対する組織の意識にも影響を与えます。IT部門から経営層にむけて、ビジネスへのリスク・影響を含む被害事例の共有といった継続的な働きかけにより、意識変化を促す取り組みが必要です」(染谷)。

また、染谷によれば、調査結果では、セキュリティに対する経営者の意識は法人組織の規模が大きくなるにつれて高まる傾向にあり、それが組織規模の大小に応じた対策レベルの格差につながっているという。とはいえ、セキュリティリスクは組織の規模とは関係なく等しく存在し、先に紹介した被害額平均を見ても、相対的なダメージは規模の小さな組織のほうが大きい。

さらに、規模を問わず狙われるランサムウェアの流行はもとより、標的型サイバー攻撃の手口として、“本丸の大手企業”に攻撃を仕掛けるために周辺の組織から狙うという手口も確認されている。「こうした実態を示すような結果も今回の調査から読み解けます。従業員数50名~ 99名の組織における“業務提携先に関する情報の漏えい”の発生率(21.1 %)が、従業員数5,000名以上の組織の発生率(1 1 .8%)の倍近くになっています。業務提携先に関する情報の漏えいは、組織の経営に深刻なダメージを与えるはずです。ですから、中小の規模もサイバー攻撃への警戒を行ってはなりませんし、大手企業もバリューチェーン全体のセキュリティについてもっと目を向けるべきと言えます」と染谷は警鐘を鳴らす。

問われる組織対策の進展度─ CSIRTの設置率は高まれど

当然のことながら、組織的なセキュリティ対策の充実度も、セキュリティリスクの高低を決める重要な要素だ。その観点から2016年版調査を見ると、法人組織におけるCSIRT(Computer Security Incident Response Team)の設置率は一昨年度調査の3.7%から1 4.6%へと大幅にアップし、組織のインシデント対応力が増しているように思える。ただし、イシンシデント対応プロセスの明文化・見直しを徹底している組織の比率は40%を切り、従業員への定期的・随時教育(実施率36.6%)、重要情報の定義と定期的な棚卸し(実施率26.0%)といった基本的な対策徹底率もすべて40%を切っている。「こうした組織対策上の課題を解決するためにも、セキュリティに対する経営層の積極的な関与と、後押しが必要です」と染谷は強調した。

そんな中で、CIO(最高情報責任者)、CISO(最高情報セキュリティ責任者)、CSO(最高セキュリティ責任者)の設置率がそれぞれ23.1 %、22.6%、20.2%に達し、「今後設置予定/検討中」とする回答者の割合もそれぞれ25%前後に上るといった変化の兆しも見られている。
「この傾向が継続的に進めば、組織的なセキュリティ対策も大きく前進するのではないかと期待しています」(染谷)。

停滞する技術対策─まずは既存資産の有効活用を

2016年度調査結果の技術対策として、染谷が指摘するのは前年度調査から「セキュリティの技術対策にほとんど進展が見られていない」という点だ。もちろんこれも、セキュリティリスクを高めている一因と言える。

例えば、業務端末/社内サーバに適用しているセキュリティ対策は「ウイルス対策」だけという前年調査からの状況が続いているという。また、公開サーバのOSに対する修正プログラムの適用を、修正プログラムの公開時に適用している向きも全体の6割程度である。さらに、標的型サイバー攻撃に気づくために必要とされる、社内の潜在脅威を検知する仕組みの導入も大きな進展を見せていないという。

また、次の点についても指摘する。メールを介した「実行ファイル」の送受だ。
「今回調査でもメールでの実行ファイル授受をブロックしていると答えた回答者は全体の56.7%でしかありませんでした。実行ファイルの送受を禁じ、強制的にブロックするだけで大多数の標的型メール/ランサムウェアがブロックできます。しかもそれには新たな仕組みを導入する必要はなく、現行のシステムの設定を『実行ファイルの送付を禁ずる』ように変えるだけで済むのです」
染谷によれば、この例のように、現有IT資産に関してセキュリティ対策に有効な機能が使われていない場合が多くあるという。「ですから、対策強化に向けて新しい仕組みの導入だけを考えるのではなく、足元にある既存資産の有効活用も考えるべきではないでしょうか」と、染谷は指摘する。

さらに、有効活用が図られていないリソースとして、国や業界団体が提供するセキュリティガイドラインも挙げられると染谷は指摘する。
「昨年策定された経済産業者の『サイバーセキュリティ経営ガイドライン』にしても、自組織の対策に反映させているところは1 5.5%でしかありません。一方で、セキュリティ対策に何から手をつけていいのかがわからない組織もあるはずです。そうした組織にとって、ガイドラインは一つの参考資料として有効と言えます」
サイバー攻撃は日々進化しており、法人組織がそれに対抗していくのは簡単なことではない。ただ、対策を前進させなければ、攻撃者との格差、そして多大な損失を被るリスクは広がる一方となる。「技術的対策の強化はもちろん重要ですが、前提となるのは人です。人の意識が変わらなければ、組織としてのセキュリティレベルの全体的な向上は見込めません。技術と人の両輪でセキュリティレベルを高めていくことが、サイバー攻撃に対する組織的対応力の向上につながっていくのです」(染谷)。

※1、2 深刻なセキュリティインシデントを経験した組織における平均被害額
※3 トレンドマイクロ 2015年第2四半期セキュリティラウンドアップ

記事公開日 : 2016.12.5
 この記事は、公開日時点での情報です