2016/09/14
防災・危機管理ニュース
トレンドマイクロ株式会社(本社:東京都渋谷区)は、官公庁自治体と民間企業の情報セキュリティ対策の意思決定者、意思決定関与者1375名を対象に、セキュリティ被害と対策状況の実態を明らかにする調査「法人組織におけるセキュリティ対策実態調査2016年版」を6月に実施し、12日に調査結果を発表した。
法人組織の38.5%(530名)が「個人情報の漏えい」や「生産・操業停止」など、ビジネスに影響を及ぼす「深刻なセキュリティインシデント」を2015年1年間に経験したと回答した。「社員情報の漏えい(23.3%)」や「顧客情報の漏えい(19.4%)」に代表されるように、保有する個人情報が多くの法人組織で漏えいしている(図1(※1))。この現況は、規模や地域に関係なく、国内の法人組織で見られることがわかった。
(※1) 2015年に何らかの「セキュリティインシデント」を経験した787名のうち、二次的、三次的な被害
があったと回答した530名を「深刻なセキュリティインシデント」の経験者と定義。
「深刻なセキュリティインシデント」発生時には短期的損失だけでなく、組織の社会的信用が損なわれ、結果として経営面への影響も中長期的に発生する。システムの復旧費用や売上機会損失、再発防止策や補償などの二次的、三次的な被害額も含めた年間被害総額は、平均2億1050万円に上り(図2)、前年の平均被害総額1億3105万円に対して約1.6倍と大幅に増加した。
写真を拡大 実害のあった人を対象に被害総額を質問
POSシステムや製造プラントなど業種特有の環境がインターネットにつながり始めている中、非情報系システムにおける「サイバー攻撃」や「内部犯行」といったセキュリティインシデントは、調査対象システム平均で29.1%が2015年1月~2016年6月の間に経験したと回答した。「住基含む基幹系ネットワーク環境 (官公庁自治体:35.3%)」、「運行管理システム環境などの重要環境(運輸・交通・インフラ:35.2%)」、「インターネットバンキング環境 (金融:34.3%)」がインシデント発生率上位3位で、様々な業種特有の環境でセキュリティインシデントが発生していることがわかった(図3)。
一方で、これらの非情報系システムで「十分セキュリティ対策ができている」と回答しているのは、全対象システム平均で26.8%。「どちらかというと十分セキュリティ対策ができている(42.7%)」を含めると69.5%がセキュリティ対策はできていると回答した(図4)が、非情報系のシステムにおいて「深刻なセキュリティインシデント」が発生した際には、事業継続性の観点で影響の規模や範囲が大きくなることが想定される。IoT(Internet of Things)のように様々なシステムがインターネットにつながり始める中で、業種特有の非情報系システムにおけるセキュリティはこれまで以上に重要になってくる。
写真を拡大 各nは、対象者から図3の「システムは保有していない」の回答者を除いた数
法人組織において、技術面と組織面でセキュリティ対策がどれだけ網羅性をもって実施されているかを示すセキュリティ対策包括度(※2)は、平均62.0点(技術的対策平均:39.7点、組織的対策平均:22.3点)と、前年の62.7点と比較すると横ばいであることがわかった。
(※2)セキュリティ製品やIT機器で行う「技術的対策」に関する質問16問と、組織の体制や取り組みとして行う「組織的対策」に関する質問10問の、計26問に対する回答を、それぞれの対策の重要度に応じて加重配点し、100点満点(技術的対策60点満点、組織的対策40点満点)換算でスコアリングした点数。
同社では、法人組織に最低限必要と考えられる対策レベルをベースラインスコア72点と定義しているが、その数値を依然大きく下回る結果となった。セキュリティ対策包括度を構成する技術的対策と組織的対策の平均点も、それぞれ前年比で大きな変化は見られなかった(図5)。
一方で、法人組織がセキュリティ関連の体制整備を最優先に進めている傾向が明らかになった。CSIRT(Computer Security Incident Response Team)やSOC(Security Operations Center)といった脅威の早期発見やインシデント対応を可能にする組織や、CIO(Chief Information Officer)、CISO(Chief Information Security Officer)、CSO(Chief Security Officer)などのセキュリティ関連の要職の設置状況も調査。
CSIRTとSOCの設置率は、それぞれ14.6%、14.3%と、2014年調査時の3.7%、3.0%と比較して10ポイント以上と大幅に増加。CIO、CISO、CSOの設置率は、それぞれ23.1%、 22.6%、 20.2%となった。設置予定・検討中を見ても、それぞれ24.7%(CIO)、25.4%(CISO)、26.9%(CSO)と、セキュリティに関する体制整備と舵を取る人材の必要性への理解が法人組織において進んでいると言える(図6)。
■調査概要
調査名: 法人組織におけるセキュリティ対策 実態調査 2016年版
実施時期: 2016年6月23日~2016年6月30日
回答者: 法人組織における情報セキュリティ対策の意思決定者、
およびに意思決定関与者 計1,375人
(民間企業:1,123人、官公庁自治体:252人)
手法: インターネット調査
(了)
防災・危機管理ニュースの他の記事
直近のセミナー・イベント
05/08
サイバーインシデント対応の基本知識と準備
05/23
危機管理カンファレンス2024春
おすすめ記事
-
-
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
-
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
-
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
-
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
-
民間企業の強みを発揮し3日でアプリ開発
1月7日、SAPジャパンに能登半島地震の災害支援の依頼が届いた。石川県庁が避難所の状況を把握するため、最前線で活動していた自衛隊やDMAT(災害派遣医療チーム)の持つ避難所データを統合する依頼だった。状況が切迫するなか、同社は3日でアプリケーションを開発した。
2024/04/11
-
-
組織ごとにバラバラなフォーマットを統一
1月3日、サイボウズの災害支援チームリーダーである柴田哲史氏のもとに、内閣府特命担当の自見英子大臣から連絡が入った。能登半島地震で被害を受けた石川県庁へのIT支援要請だった。同社は自衛隊が集めた孤立集落や避難所の情報を集約・整理し、効率的な物資輸送をサポートするシステムを提供。避難者を支援する介護支援者の管理にも力を貸した。
2024/04/10
-
リスク対策.com編集長が斬る!【2024年4月9日配信アーカイブ】
【4月9日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:安全配慮義務
2024/04/09
-
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
![2021年BCP事例総まとめ[永久保存版]](https://risk.ismcdn.jp/mwimgs/a/6/160wm/img_a6cb301164bcf0e91b3b99a03924748a119304.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方