日本情報経済社会推進協会とITRは3月27日、国内企業693社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2018」の一部結果を速報として発表した。
今回の調査では、情報セキュリティにまつわるインシデントの認知状況や情報セキュリティ対策の取り組み状況、2018年5月から施行予定のGDPR(EU一般データ保護規則)への対応状況、働き方改革への取り組みなどについて調査・分析している。
「過去1年間に認知した情報セキュリティ・インシデントの種類」については、特徴的なインシデントにおいて増加傾向が見られ、国内企業が現実的なセキュリティの脅威にさらされていることが明らかになった。「社内PCのマルウェア感染」は例年通り最も認知されているインシデントとなっているが、今年の調査では「公開サーバ等に対するDDoS攻撃」、「内部不正による個人情報の漏洩・滅失」、「外部からのなりすましメールの受信」の認知率が上昇した。
「過去1年間に認知した情報セキュリティ・インシデントの種類(経年比較)」
セキュリティ・リスクの重視度合いを質問した結果では、「標的型のサイバー攻撃」と「内部犯行による重要情報の漏洩・消失」については「極めて重視しており、経営陣からも最優先で対応するよう求められている」との回答が2016年以降年々増加しており、今回はともに3割を超えている。
また、2017年11月のサイバーセキュリティ経営ガイドラインの改定に伴い、経営層のセキュリティ対策への関与が高まっているとみられる。調査ではITガバナンス・内部統制対策に関する費用、個人情報保護対策に関する費用が、中堅・中小企業でも増加している結果となった。
「セキュリティ・リスクの重視度合い(経年比較)」
厳しいプライバシー規制を設けていることで知られるEU域内に事業拠点または顧客を持つ企業153社に対して、EU域内居住者の個人情報の域外への移転を制限するGDPRへの対応状況を訊ねたところ、「GDPRの存在を初めて知った」が11.1%、「GDPRの存在は知っているが、勤務先がどのように対応しているかは知らない」が30.7%となり、規制対応にIT/セキュリティ責任者が十分に関与していない実態が明らかになった。
「EUのプライバシー規制への対応状況」
政府が推進する「働き方改革」に関する対象結果では、従業員の「働き方改革が経営目標として掲げられている」企業の割合は昨年の26.8%から34.2%に増加した。一方、「テレワークの制度が整備されている」および「在宅勤務制度が整備されている」企業の割合は微増にとどまる結果となった。
「働き方改革と具体的施策への取り組み状況(経年比較)」
今回の調査結果を受けて、ITRでは、インシデントの検知・復旧での能力を向上するために、多様化と複雑化が進む現在のリスクについて改めて捉え直すことから始めることが求められるとしている。
