写真を拡大 出典:英国デジタル・文化・メディア・スポーツ省 / Cyber Security Breaches Survey 2019)

企業の3割が直近1年で被害

英国のデジタル・文化・メディア・スポーツ省(Department for Digital, Culture, Media and Sport)は2019年4月に「Cyber Security Breaches Survey 2019」という報告書を発表した。これは英国内の企業と慈善団体(businesses and charities)を対象として、サイバーセキュリティに関する実態調査を行った結果をまとめたものである。

調査はマーケットリサーチ会社である Ipsos MORIがポーツマス大学の刑事司法研究所(Institute of Criminal Justice Studies)の協力を得て2018年冬から2019年の初旬にかけて実施しており、まずランダムに選ばれた1566の企業と514の慈善団体に対する電話調査(定量調査)を行った後、それらのうち52の組織に対してより詳細なインタビュー調査(定性調査)を行っている。

なお本調査においては公共機関が調査対象外となっているほか、ITを使用していなかったり、インターネットに繋がっていないような組織も調査対象から外されている。

本稿のトップに掲載した図は報告書の3ページ目(実質的に最初のページ)に掲載されているサマリーであり、本調査に回答した企業の32%、慈善団体の22%が、過去12カ月の間にサイバーセキュリティに関する何らかの攻撃や侵害行為(breaches)を受けたと回答している。

これを業種別に見ると、情報通信業では47%と平均より高くなっているのに対して、建設業では23%、食品・サービス業においては23%と平均より低くなっている。ただしこの結果をもって、情報通信業におけるサイバーセキュリティのリスクが高いとか、建設業や食品・サービス業におけるリスクが低いと考えるのは早計である。サイバーセキュリティに関する問題意識が低かったり、ネットワークをモニタリングする技術がなかったりという状況では、サイバーセキュリティによる攻撃や侵害行為を受けたとしても検知できなかったために、数字が低めになっている可能性もある。

中小企業ほど対策に遅れ

また本報告書では、サイバーセキュリティ対策に対する経営層の関与状況についても問題意識を持たれている。図1は組織の取締役、理事、上級管理職が、サイバーセキュリティに関連して実施された事項について、どのくらいの頻度で報告されているかを尋ねた結果である。企業(図の上側)と慈善団体(下側)を比べると、全体的に慈善団体の方が報告頻度が低いことが分かる。企業では四半期に1度・毎月・毎週・毎日の合計が56%であるのに対して慈善団体では42%にとどまっている。しかしながら慈善団体において、四半期ごとに報告している組織が7%、毎月報告している組織が5%それぞれ増加していることから、今後も徐々に頻度が高まっていく可能性がある。

写真を拡大 図1. 経営層などに対するサイバーセキュリティ関連事項の報告頻度(出典:英国デジタル・文化・メディア・スポーツ省 / Cyber Security Breaches Survey 2019)

図2は情報セキュリティもしくはガバナンスを担当するスタッフを置いている組織の割合を、組織の種類別に示したものである。企業全体としては42%であるが、大企業に絞ると78%もの組織が情報セキュリティもしくはガバナンスの担当者を置いている。小規模事業者(small firms)では50%、零細事業者(micro firms)では37%にとどまっているが、それぞれ昨年の調査結果と比べると増加していることが示されている。

情報通信、金融、保険といった業種で割合が高くなっている事には驚きはないが、医療・ソーシャルワークなどで74%と高くなっており、しかも昨年より31% 増えているというのは注目に値するであろう。また慈善団体全体では49%となっており、昨年より11%増えている。なお「高収入の慈善団体」に限定するとこの数字は82%に上るとの事であるから、財政的に厳しい慈善団体ではこのような担当者を置くのが難しいのが現状だと考えられる。

写真を拡大 図2. 情報セキュリティ担当者を置いている組織の割合(出典:英国デジタル・文化・メディア・スポーツ省 / Cyber Security Breaches Survey 2019)

本報告書では、これらの増加の背景にはGDPR(General Data Protection Regulation:EU一般データ保護規則)の施行と関連があると考えられている。他の設問に関する結果からも、サイバーセキュリティに対する組織の取り組み方に対してGDPRが一定の役割を果たしたであろうと本報告書では評価されている。

しかしながら一方で、一部の組織はサイバーセキュリティをデータ保護の観点からしか捉えていないことが、定性調査の結果から分かったという。このような状況を踏まえて、本報告書ではサイバーセキュリティへの取り組みに関して、より包括的なアプローチが必要であるという事も指摘されている。

■ 報告書本文の入手先(PDF66ページ/約1.9MB)
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/791940/Cyber_Security_Breaches_Survey_2019_-_Main_Report.PDF

(了)