2016/09/14
防災・危機管理ニュース
トレンドマイクロ株式会社(本社:東京都渋谷区)は、官公庁自治体と民間企業の情報セキュリティ対策の意思決定者、意思決定関与者1375名を対象に、セキュリティ被害と対策状況の実態を明らかにする調査「法人組織におけるセキュリティ対策実態調査2016年版」を6月に実施し、12日に調査結果を発表した。
法人組織の38.5%(530名)が「個人情報の漏えい」や「生産・操業停止」など、ビジネスに影響を及ぼす「深刻なセキュリティインシデント」を2015年1年間に経験したと回答した。「社員情報の漏えい(23.3%)」や「顧客情報の漏えい(19.4%)」に代表されるように、保有する個人情報が多くの法人組織で漏えいしている(図1(※1))。この現況は、規模や地域に関係なく、国内の法人組織で見られることがわかった。
(※1) 2015年に何らかの「セキュリティインシデント」を経験した787名のうち、二次的、三次的な被害
があったと回答した530名を「深刻なセキュリティインシデント」の経験者と定義。
「深刻なセキュリティインシデント」発生時には短期的損失だけでなく、組織の社会的信用が損なわれ、結果として経営面への影響も中長期的に発生する。システムの復旧費用や売上機会損失、再発防止策や補償などの二次的、三次的な被害額も含めた年間被害総額は、平均2億1050万円に上り(図2)、前年の平均被害総額1億3105万円に対して約1.6倍と大幅に増加した。
写真を拡大 実害のあった人を対象に被害総額を質問
POSシステムや製造プラントなど業種特有の環境がインターネットにつながり始めている中、非情報系システムにおける「サイバー攻撃」や「内部犯行」といったセキュリティインシデントは、調査対象システム平均で29.1%が2015年1月~2016年6月の間に経験したと回答した。「住基含む基幹系ネットワーク環境 (官公庁自治体:35.3%)」、「運行管理システム環境などの重要環境(運輸・交通・インフラ:35.2%)」、「インターネットバンキング環境 (金融:34.3%)」がインシデント発生率上位3位で、様々な業種特有の環境でセキュリティインシデントが発生していることがわかった(図3)。
一方で、これらの非情報系システムで「十分セキュリティ対策ができている」と回答しているのは、全対象システム平均で26.8%。「どちらかというと十分セキュリティ対策ができている(42.7%)」を含めると69.5%がセキュリティ対策はできていると回答した(図4)が、非情報系のシステムにおいて「深刻なセキュリティインシデント」が発生した際には、事業継続性の観点で影響の規模や範囲が大きくなることが想定される。IoT(Internet of Things)のように様々なシステムがインターネットにつながり始める中で、業種特有の非情報系システムにおけるセキュリティはこれまで以上に重要になってくる。
写真を拡大 各nは、対象者から図3の「システムは保有していない」の回答者を除いた数
法人組織において、技術面と組織面でセキュリティ対策がどれだけ網羅性をもって実施されているかを示すセキュリティ対策包括度(※2)は、平均62.0点(技術的対策平均:39.7点、組織的対策平均:22.3点)と、前年の62.7点と比較すると横ばいであることがわかった。
(※2)セキュリティ製品やIT機器で行う「技術的対策」に関する質問16問と、組織の体制や取り組みとして行う「組織的対策」に関する質問10問の、計26問に対する回答を、それぞれの対策の重要度に応じて加重配点し、100点満点(技術的対策60点満点、組織的対策40点満点)換算でスコアリングした点数。
同社では、法人組織に最低限必要と考えられる対策レベルをベースラインスコア72点と定義しているが、その数値を依然大きく下回る結果となった。セキュリティ対策包括度を構成する技術的対策と組織的対策の平均点も、それぞれ前年比で大きな変化は見られなかった(図5)。
一方で、法人組織がセキュリティ関連の体制整備を最優先に進めている傾向が明らかになった。CSIRT(Computer Security Incident Response Team)やSOC(Security Operations Center)といった脅威の早期発見やインシデント対応を可能にする組織や、CIO(Chief Information Officer)、CISO(Chief Information Security Officer)、CSO(Chief Security Officer)などのセキュリティ関連の要職の設置状況も調査。
CSIRTとSOCの設置率は、それぞれ14.6%、14.3%と、2014年調査時の3.7%、3.0%と比較して10ポイント以上と大幅に増加。CIO、CISO、CSOの設置率は、それぞれ23.1%、 22.6%、 20.2%となった。設置予定・検討中を見ても、それぞれ24.7%(CIO)、25.4%(CISO)、26.9%(CSO)と、セキュリティに関する体制整備と舵を取る人材の必要性への理解が法人組織において進んでいると言える(図6)。
■調査概要
調査名: 法人組織におけるセキュリティ対策 実態調査 2016年版
実施時期: 2016年6月23日~2016年6月30日
回答者: 法人組織における情報セキュリティ対策の意思決定者、
およびに意思決定関与者 計1,375人
(民間企業:1,123人、官公庁自治体:252人)
手法: インターネット調査
(了)
防災・危機管理ニュースの他の記事
直近のセミナー・イベント
おすすめ記事
-
「自分の安全は自分で」企業に寄り添いサポート
海外赴任者・出張者のインシデントに一企業が単独で対応するのは簡単ではありません。昨今、世界中のネットワークを使って一連の対応を援助するアシスタンスサービスのニーズが急上昇しています。ヨーロッパ・アシスタンス・ジャパンの森紀俊社長に、最近のニーズ変化と今後の展開を聞きました。
2025/08/16
-
-
白山のBCPが企業成長を導く
2024年1月1日に発生した能登半島地震で震度7を観測した石川県志賀町にある株式会社白山の石川工場は、深刻な被害を受けながらも、3カ月で完全復旧を実現した。迅速な対応を支えたのは、人を中心に据える「ヒト・セントリック経営」と、現場に委ねられた判断力、そして、地元建設会社との信頼関係の積み重ねだった。同社は現在、埼玉に新たな工場を建設するなどBCPと経営効率化のさらなる一体化に取り組みはじめている。
2025/08/11
-
三協立山が挑む 競争力を固守するためのBCP
2024年元日に発生した能登半島地震で被災した三協立山株式会社。同社は富山県内に多数の生産拠点を集中させる一方、販売網は全国に広がっており、製品の供給遅れは取引先との信頼関係に影響しかねない構造にあった。震災の経験を通じて、同社では、復旧のスピードと、技術者の必要性を認識。現在、被災時の目標復旧時間の目安を1カ月と設定するとともに、取引先が被災しても、即座に必要な技術者を派遣できる体制づくりを進めている。
2025/08/11
-
アイシン軽金属が能登半島地震で得た教訓と、グループ全体への実装プロセス
2024年1月1日に発生した能登半島地震で、震度5強の揺れに見舞われた自動車用アルミ部品メーカー・アイシン軽金属(富山県射水市)。同社は、大手自動車部品メーカーである「アイシングループ」の一員として、これまでグループ全体で培ってきた震災経験と教訓を災害対策に生かし、防災・事業継続の両面で体制強化を進めてきた。能登半島地震の被災を経て、現在、同社はどのような新たな取り組みを展開しているのか――。
2025/08/11
-
-
-
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/08/05
-
-
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2025/08/05
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方