企業経営者が最も意識しているリスクは情報漏洩――。AIU保険が1月23日に発表した「情報漏洩リスクに対する意識」調査で明らかになっている。
同社は2012年12月に日本国内に本社を置くグローバル企業向けに保険商品「CyberEdge」の販売を開始。サイバー攻撃を受けた時に全世界で発生する損害を補償する。今回の調査は、CyberEdgeの潜在ニーズを把握することが目的。資本金5000万円以上で、従業員100人以上の経営者や役員200人を対象にネットで調査している。
調査では、経営上のリスクとして法務法令・コンプライアンス、自然災害、サイバー攻撃、情報漏洩、為替変動、訴訟、労務、顧客・取引先という8つの因子を提示。この中で情報漏洩を挙げたのが81.0%と一番の脅威となっている。東日本大震災で一層意識が高まっていると想像できる自然災害の70.5%を上回っている。サイバー攻撃(67.5%)や為替変動(46.0%)、労務(61.5%)をも上回っている。いかに情報漏洩を恐れているかが分かる。
情報漏洩発生時に最も重要だと認識している対応策をみると、「速やかな事実確認の徹底」(55.0%)と「原因の究明と把握」(21.0%)が重要視されている。では、情報漏洩の最も大きな要因は何なのかという認識をみると、全体では、定期的な状況把握やルールのマンネリ化といった「管理の不備」(33.5%)が挙がっている。
従業員数別だと、100~299人では「従業員の不正行為」(33.0%)が全体よりも8ポイント高く、「管理の不備」が全体よりも10ポイント低くくなっている。1000人以上だと「サイバー攻撃」と「管理の不備」が全体よりも9ポイント高く、「従業員の不正行為」は全体よりも8ポイント低い。
ここ最近注目を集めている“私物端末の業務利用(BYOD)”の利用実態では、全体では「個人の裁量に任せている(規制していない)」が29.5%と最も高い割合となっている。これに「利用範囲を定めたマニュアルやシステムを整備して利用している」(21.0%)、「システム上、完全に利用できないように制限している」(19.0%)、「マニュアルや通達などで完全に禁止している」(18.5%)が続いている。
従業員数別だと、従業員数が多いほど「個人の裁量に任せている」が低く、1000人以上になると「システム上、完全に利用できないように制限している」が全体よりも17ポイント高いという結果になっている。
調査では、サイバー攻撃についても調べている。サイバー攻撃の被害に遭った時、その対策にかかる想定費用は全体平均で約1億2000万円となっている。この想定費用は、従業員数が多くなればなるほど高く、1000人以上では約3億4000万円となり、100~300人と比較すると、約10倍の差となっている。
海外に展開している企業のサイバー攻撃対策をみると、海外拠点がサイバー攻撃を受ける可能性を想定して、実際に対策を取っている経営者は約20%。一方で約7割の経営者が「想定しているが、対策は取れていない/検討中」(38.7%)、「想定しておらず、対策は取っていない」(30.6%)と回答している。これらから調査では、海外拠点での対策が十分とは言い難い現状が明らかになったと説明している。
2月19日開催:ZDNet Japan セキュリティフォーラム
高度化の一途をたどるサイバー攻撃、そして企業内部のリスクに、どこまでの対策を講じれば「安心」と言い切れるのか。性善説では決して語れないセキュリティ問題の現実的なリスク最小化への道筋とコストとの均衡点を紹介します。
お申し込みは特設ページ「ZDNet Japan セキュリティフォーラム」まで。