「情報セキュリティ対策は経営課題」――ITベンダーはこぞってこう強調するが、最新の調査結果によると、ユーザー企業の対応とはまだギャップがある。もっと訴求する必要がありそうだ。
ユーザー企業調査に見るサイバー攻撃の実態と対策
一般社団法人 日本情報システム・ユーザー協会(JUAS)が先ごろ、国内企業の情報セキュリティへの取り組みに関する調査結果を発表した。毎年実施している「企業IT動向調査」2016年版の情報セキュリティに関する速報値で、東証1部上場企業とそれに準じる企業4000社を対象に、2015年9月30日から10月19日の期間で調査を実施。1115社から有効回答を得たという。
同調査によると、過去1年間に偽装メールを使ったサイバー攻撃が「発生した」と回答した企業は25.1%に達した。「発生した可能性もあるが把握していない」と回答した企業も14.8%となり、合わせて約4割の企業が攻撃を受けた可能性があることが明らかになった(図1)。

(図1)売上高別 偽装メールを使ったサイバー攻撃の発生状況
企業規模が大きくなるほど攻撃も増えており、売上高1000億円以上1兆円未満では40.8%、1兆円以上では56.3%が「発生した」と回答。「発生した可能性もあるが把握していない」まで含めると、1兆円以上では64.6%に達した。JUASでは、企業規模が大きくなれば狙われやすくなるのもさることながら、情報セキュリティの監視体制が中堅・中小企業よりもしっかりしているケースが多いため、「発生した」と回答する割合が高くなっている可能性もあるとしている。
また、情報セキュリティ上の問題(インシデント)が発生したときに、CSIRT(Computer Security Incident Response Team)のような専任組織を設けている企業は全体の3.8%にとどまった。図2をもとに計算すると、8割弱の企業で何らかの対応組織が定義されているようだ。逆に言うと、2割強の企業では問題が起きたときの対策チームが明確に決まっていないことになる。

(図2)セキュリティ上の問題が発生したときの対策チームの設置状況
経営会議で情報セキュリティを取り上げる企業は約3割
同調査では、企業の経営層が情報セキュリティにどう関与しているかについても聞いており、「経営幹部が昨今の企業を取り巻くセキュリティリスクの深刻さを重要視しており、重大なセキュリティリスクや対策の重要性については、経営会議等で審議・報告される」と回答した企業は、全体の約3割(32.5%)にとどまった(図3)。

(図3)売上高別 経営幹部のセキュリティリスクに対する関わり方
一方で、約6割(60.4%)の企業が「自社におけるセキュリティリスクは認識しているが、対策はIT部門など担当部門に任せている」と回答している。
図3を見ると、企業規模が大きくなるほど経営層の関わり方が深くなっている状況がうかがえるが、売上高1000億円を境目にその割合には大きな差があるようだ。JUASでは、経営層が積極的に情報セキュリティに関与しているかというと、実態はそうではないようだと指摘している。
3つの調査結果をつなぎ合わせると、「約4割の企業が過去1年間にサイバー攻撃を受けた可能性があるものの、対応する専任組織を設けている割合はごく少数で、経営層が積極的に情報セキュリティに関与している企業も約3割にとどまっている」といった内容になる。とりわけ、3つ目の経営層の関与を示した結果は、まさにJUASが指摘している通りである。
あらためて、情報セキュリティ対策が企業にとって経営課題であることを一層訴求していく必要がある。JUASの調査結果はその警鐘ととらえるべきである。