日本の官公庁や自治体、企業の7割が何らかのセキュリティインシデントを経験している――。トレンドマイクロが5月12日に発表した「組織におけるセキュリティ対策実態調査 2014」で明らかになっている。50人以上の組織での情報セキュリティ対策に関する意思決定者と意思決定関与者1175人を対象に3月に調査した。
2013年にセキュリティインシデントをきっかけに発生した実害件数(トレンドマイクロ提供)
セキュリティインシデントは、全体の66.2%にあたる778人の回答者が、2013年の1年間で組織内で何らかのセキュリティインシデントが発生したと回答している。インシデントを経験した組織のうち53.7%が、そのインシデントをきっかけに、データの破損や損失、個人情報の漏えい、システムやサービスの停止といった実害を被っていたことが明らかになった。
「顧客・取引先との関係が悪化した」「賠償問題や訴訟にまで発展した」「株価への影響が見られた」などビジネスに大きな影響を及ぼすケースも実際に発生していることがわかる。
組織内で実施しているセキュリティ対策では合計26の質問から、各対策の重要度に応じ加重配点で技術的対策60点満点、組織的対策40点満点で評価した。回答者全体の平均は58.5点(技術的対策平均37.8点、組織的対策平均20.7点)。トレンドマイクロが定める、企業や組織に最低限必要と考えられる包括的対策のベースラインスコアである72点を下回る結果が出ている。
業界別、包括対策度平均スコア(トレンドマイクロ提供)
対策度の平均スコアを業界別に見ると、対策実施上位業界から「情報サービス・通信プロバイダー:75.3点」「金融:71.3点」「官公庁自治体:66.1点」と、比較的対策が実現できている業界でもベースライン前後のスコアにとどまっている。下位業界では「福祉・介護:45.2点」「医療:52.1点」「サービス:52.4点」と業界別に対策実施度合いに開きがあることが分かる。
各対策の実施率では、多機能型総合セキュリティソフトの利用率は20%未満、ネットワークで依然としてファイアウォールでしか対策していない組織も26.3%。旧来からのセキュリティ対策の実施にとどまり、多様化、巧妙化するサイバー攻撃に対する有効な対策の導入が進んでいないことが明らかになっている。
セキュリティ対策での課題上位10項目(トレンドマイクロ提供)
セキュリティ対策する上での課題としては、「投資の効果が見えにくい:66.0%」「社員のリテラシー・意識が低い:59.1%」「予算がない・足りない:55.8%」「投資の必要性を上層部に説得する材料に欠けている:53.2%」「対策に必要な人材が足りない:52.0%」などが挙げられている。
同社では、セキュリティ対策への投資、人材の育成と確保、従業員のリテラシー向上が、効果的なセキュリティ対策を実現する上で課題となっていることが浮き彫りになったと指摘している。