実際、標的型メールを受けたことのある企業は30%以上に上る。高度な標的型メールの被害状況を聞いたところ、経験のある企業は33.4%だった。
この結果について森氏は、「42.9%の企業が『攻撃を受けたことがない』と回答しているが、その中には攻撃されたことに気付いていない企業も多いはずだ。売上高3000億円超の企業だけを見ると、60%以上が攻撃されたと回答している。大規模企業は高度なセキュリティ機器を導入していることが多いので、攻撃を把握できたということだろう」と指摘した。
標的型メールを受けたことのある企業は30%超。ただし「攻撃されても気が付いていない企業は相当数いる」(森氏)とのことだ(NRIセキュア提供)
NRIセキュアテクノロジーズ ストラテジーコンサルティング部スーパーバイザー部長 足立道拡氏
重視するセキュリティ対策については、従業員の教育や標的型攻撃対策を挙げる姿勢が目立った。44.4%の企業が「従業員のセキュリティ教育」を挙げ、昨年8位だった「標的型攻撃対策」は33.1%で2位となった。
もう1つ興味深いのがサイバー保険への興味関心である。「サイバー保険に加入済み/予定」と回答した企業は4.3%だが、検討中と回答したのは12.8%。同社ストラテジーコンサルティング部スーパーバイザー部長の足立道拡氏はこの数字を「多い」と見る。
「日本ではサイバー保険(の提供)は始まったばかりで、どこまでを保証するのか、何がサイバー攻撃の被害なのかといった詳細は決まっていない。しかし、経営層はベネッセや日本年金機構の情報漏洩事件から、『セキュリティ対策は経営課題』と認識し始めている。その一環としてサイバー保険が注目されている」(足立氏)。サイバー保険に加入が多いのは情報通信分野で、少ないのは製造業とのことだ。
CSIRTは情報システム部門が兼任?
また、セキュリティ対策組織である「CSIRT(Computer Security Incident Response Team)」を社内で構築する課題について聞いたところ、45.8%がCSIRT要員の人材不足、43.8%がCSIRT要員のスキル不足を挙げた。実際にCSIRTを構築済みで「有効に機能している」と回答した企業は5.3%に留まっている。一方、「情報システム部門が類似機能を果たしている」と回答した企業は30.4%、「CSIRT構築を検討していない」回答した企業は44%に上った。
今回の調査結果について森氏は、「企業はセキュリティ統括者を配置し、人材獲得に向けた体制を整備すべきだ。CISOを設置して情報セキュリティ全体を管理し、経営層とコミュニケーションできる人材を充てる必要がある。セキュリティ人材の採用や育成のための社内体制を整備し、経営として人材育成に取り組む姿勢を見せることも重要だ」と総括した。
情報セキュリティ全体をマネジメントできる体制の「理想」と「現実」(NRIセキュア提供)
