トレンドマイクロは、「法人組織のセキュリティ動向調査 2020年版」を発表した。これによると、2019年4月~2020年3月の1年間に何かしらのセキュリティインシデントを経験した国内法人組織は78.5%だった。
具体的な被害を被った組織は43.8%で、システムやサービスの停止による損失額、インシデント対応にかかった費用から原因究明のための調査費用、改善策の導入、損害賠償といった事後対応を含めた年間平均被害額は約1億4800万円となった。
セキュリティインシデント発生率(業種別)
法人組織における1年間で発生したセキュリティインシデントに起因した被害額(n=476)
同調査は2020年6月にインターネット経由で実施された。回答者は自組織のインシデント状況を把握しているリスク管理・ITシステム・情報セキュリティ担当者の計1086人(民間企業:980人、官公庁自治体:106人)。
法人組織で導入または導入を予定しているシステムのセキュリティの懸念
セキュリティの懸念があるシステムへのセキュリティ対策検討状況
今回の調査で80.5%がテレワーク環境を導入または今後導入を予定していることが分かった。一方で、このうちセキュリティに対して「強い懸念がある」「やや懸念がある」と回答した割合は71.4%だった。さらに、テレワーク環境へのセキュリティ対策の検討状況では、テレワーク環境に懸念があると答えた人のうち「既に対策を検討済」と回答したのは17.3%と2割以下であり、72.9%は「今後対策を検討予定」「現在対策を検討中」と回答している。
法人組織で発生したセキュリティインシデントの内容と発生率(n=1,086)
セキュリティインシデントの内容は、「フィッシングメールの受信」が42.8%、「ビジネスメール詐欺のメール受信」が29.1%、「不正サイトへのアクセス」が26.5%、「標的型攻撃」が22.2%、「ランサムウェア感染」が17.7%と続いた。
回答者の22.2%は。自組織で標的型攻撃を経験していた。また、対象期間の間に200人近い回答者の組織でランサムウェア感染が発生しており、多くの法人組織でランサムウェアの攻撃が発生している実態が明らかになった。トレンドマイクロへの国内法人からのランサムウェア被害報告の件数は、2019年7~12月の17件から2020年1~6月は37件に増加しており、標的を絞った上で高度な攻撃を仕掛ける手口に移行し、継続していることが考えられるという。
セキュリティインシデント総被害額については、セキュリティインシデントに起因した被害を経験したという回答のうち49.6%が1000万円未満の被害だった一方で、15.7%で1億円以上の被害が発生している。
1億円以上の被害が発生した回答者のセキュリティインシデント内容を見ると、特定のセキュリティインシデントが被害額を牽引しているのではなく、情報漏えい、データの改ざん、データの暗号化など複数のインシデントが発生することで金額が膨れ上がる傾向にあることが分かった。
トレンドマイクロでは、セキュリティインシデント発生前から実施できる事前の対策と、万が一セキュリティインシデントが起きた際に迅速に対処して被害を最小限に抑える対策の両方を行うことが重要だとしている。