NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:小田島 潤、以下「NRIセキュア」)は、東証一部・二部上場企業を中心とする3,000社の情報システム・情報セキュリティ担当者を対象とした「第15回情報セキュリティに関するアンケート」を行い、調査結果を集計・分析した報告書「企業における情報セキュリティ実態調査 2017」*1をまとめました。
本調査は2002年度から毎年実施しており、今回で15回目となります。 アンケートデータを分析した結果、以下の3つのテーマで、注目すべき課題が見つかりました。
■セキュリティ人材・経営
・情報セキュリティ人材は9割近くの企業で不足
情報セキュリティに関する役割に従事する人材が、「不足している」「どちらかといえば不足している」と考える企業は合わせて89.5%でした。昨年まで3年連続、8割を超えていましたが、9割近くへとさらに増加しました(図1)。昨今のセキュリティ脅威の深刻化で、セキュリティ対策業務の量が増加したことや、仕事の質の向上も求められるという二つの側面から、人材の不足を感じる企業が多いものと推察されます。
・最高情報セキュリティ責任者(CISO)が未設置である企業は、半数以上存在
情報セキュリティ対策を経営の視点で戦略的に考える役割をもつCISOは、昨年と同様に半数以上(52.5%、2015年調査53.4%)の企業で設置されていません(図2)。組織横断的に、戦略策定や有事の際に迅速な対応を行う体制などへの懸念があります。CISOを設置することで、指揮命令系統が明確な組織の構築が期待できるとともに、情報セキュリティの課題を全体的に把握し、戦略的な対策の実装、実施の管理体制を整備することにつながります。
■セキュリティ施策
・「標的型メール攻撃」「ランサムウェアによる金銭などの要求」など、高度化したサイバー攻撃が上位に浮上
昨年までの調査では「過去1年間で発生した事件・事故」として、「電子メール、FAX、郵便物などの誤送信・誤配送」(2015年*31位:37.1%)や「情報機器・外部記憶媒体の紛失・置き忘れ・棄損」(2015年2位:33.7%)など「ヒューマンエラー」によるものが上位をしめていました。
今回の調査でも引き続き、「電子メール、FAX、郵便物などの誤送信・誤配送」が1位(35.6%)であったものの、昨年の約2倍となった「標的型メール攻撃」(2位:34.1%、2015年17.3%)や「ランサムウェアによる金銭などの要求」(3位:32.5%、今回の調査より選択肢に追加)といった、より高度なサイバー攻撃が上位に浮上しました(図3)。
・サイバー攻撃において、「高度な攻撃」への対策が遅れている企業が多い
昨今、多くの企業はサイバー攻撃に対し基本的な対策は実施出来ていますが、「高度な攻撃」への対策が遅れている企業が多い状況です(図4)。
例えば、「なりすましメールへの対策」に対して「受信メールのウイルスチェック」が9割近く(88.8%)の企業で行われていますが、「受信メールの添付ファイル拡張子規制」の実施割合は3.5割(34.9%)にとどまっています。
巧妙化するなりすましメールによる攻撃は、従来のウイルスチェックのみでは防ぐことが難しくなってきているため、「受信メールの添付ファイル拡張子規制」などの速やかな実施が望まれます。また、既に対策を実施している企業も更に設定を強化することによって効果の向上が期待出来ることから、既に行っている対策の設定点検も含む定期的なセキュリティ対策状況の確認が重要です。
「インターネットからアクセス可能なサーバのサイバー攻撃対策」では、「ファイアウォールの導入」はほとんど(95.8%)の企業が行っている一方で、「Webアプリケーション*4ファイアウォールの導入」は2割(22.7%)の企業しか行っていません。「Webアプリケーションファイアウォールの導入」は、Webアプリケーションを狙う代表的な攻撃*5への対策に有効なだけでなく、Webサーバのゼロデイ脆弱性*6への攻撃を防ぐことも期待できます。また、脆弱性が発見された場合でも、脆弱性を修正するためのプログラムなどが提供され、Webサーバへパッチを当てるまでには時間を要する場合が多く、その間のゼロデイ攻撃*7への緩和策としてWebアプリケーションファイアウォールの導入が重要です。
■IoT(モノのインターネット)
IoTを「導入済み・利用している」または「検討中・関心がある」企業は半数以上存在。そのうち、IoTに関するサイバー攻撃リスクを認識している企業は4割
さまざまな新技術の中で「IoT」への関心は高く、本調査でも半数以上(52.3%)の企業がIoTを「導入済み・利用している」または「検討中・関心がある」という状況です。(図5)。但し、これらの企業の半数近く(45%)は、実際には「IoTのビジネス活用検討は行っていない」と答えています(図6)。IoTの課題は、「サイバー攻撃リスクの増大」(41.9%)をはじめ、セキュリティに関する項目がいくつか選択されています(図7)。
「IoT」はまだ活用事例が多いとは言えず、またその言葉が指す対象がそれぞれの企業で異なるため、各社の状況に応じた対応が求められます。そのため、まずは自社のビジネスに即したIoTセキュリティの基準を作ることが第一歩となります。各種団体から発行されているIoTセキュリティガイドラインの情報を収集し、自社の基準に取り込み、対策を実践していくことで、IoTセキュリティのレベルを強化していくことが必要です。
「企業における情報セキュリティ実態調査 2017」の詳細については、下記のウェブサイトをご参照ください。
(リンク »)
■セキュリティ人材・経営
・情報セキュリティ人材は9割近くの企業で不足
情報セキュリティに関する役割に従事する人材が、「不足している」「どちらかといえば不足している」と考える企業は合わせて89.5%でした。昨年まで3年連続、8割を超えていましたが、9割近くへとさらに増加しました(図1)。昨今のセキュリティ脅威の深刻化で、セキュリティ対策業務の量が増加したことや、仕事の質の向上も求められるという二つの側面から、人材の不足を感じる企業が多いものと推察されます。
・最高情報セキュリティ責任者(CISO)が未設置である企業は、半数以上存在
情報セキュリティ対策を経営の視点で戦略的に考える役割をもつCISOは、昨年と同様に半数以上(52.5%、2015年調査53.4%)の企業で設置されていません(図2)。組織横断的に、戦略策定や有事の際に迅速な対応を行う体制などへの懸念があります。CISOを設置することで、指揮命令系統が明確な組織の構築が期待できるとともに、情報セキュリティの課題を全体的に把握し、戦略的な対策の実装、実施の管理体制を整備することにつながります。
■セキュリティ施策
・「標的型メール攻撃」「ランサムウェアによる金銭などの要求」など、高度化したサイバー攻撃が上位に浮上
昨年までの調査では「過去1年間で発生した事件・事故」として、「電子メール、FAX、郵便物などの誤送信・誤配送」(2015年*31位:37.1%)や「情報機器・外部記憶媒体の紛失・置き忘れ・棄損」(2015年2位:33.7%)など「ヒューマンエラー」によるものが上位をしめていました。
今回の調査でも引き続き、「電子メール、FAX、郵便物などの誤送信・誤配送」が1位(35.6%)であったものの、昨年の約2倍となった「標的型メール攻撃」(2位:34.1%、2015年17.3%)や「ランサムウェアによる金銭などの要求」(3位:32.5%、今回の調査より選択肢に追加)といった、より高度なサイバー攻撃が上位に浮上しました(図3)。
・サイバー攻撃において、「高度な攻撃」への対策が遅れている企業が多い
昨今、多くの企業はサイバー攻撃に対し基本的な対策は実施出来ていますが、「高度な攻撃」への対策が遅れている企業が多い状況です(図4)。
例えば、「なりすましメールへの対策」に対して「受信メールのウイルスチェック」が9割近く(88.8%)の企業で行われていますが、「受信メールの添付ファイル拡張子規制」の実施割合は3.5割(34.9%)にとどまっています。
巧妙化するなりすましメールによる攻撃は、従来のウイルスチェックのみでは防ぐことが難しくなってきているため、「受信メールの添付ファイル拡張子規制」などの速やかな実施が望まれます。また、既に対策を実施している企業も更に設定を強化することによって効果の向上が期待出来ることから、既に行っている対策の設定点検も含む定期的なセキュリティ対策状況の確認が重要です。
「インターネットからアクセス可能なサーバのサイバー攻撃対策」では、「ファイアウォールの導入」はほとんど(95.8%)の企業が行っている一方で、「Webアプリケーション*4ファイアウォールの導入」は2割(22.7%)の企業しか行っていません。「Webアプリケーションファイアウォールの導入」は、Webアプリケーションを狙う代表的な攻撃*5への対策に有効なだけでなく、Webサーバのゼロデイ脆弱性*6への攻撃を防ぐことも期待できます。また、脆弱性が発見された場合でも、脆弱性を修正するためのプログラムなどが提供され、Webサーバへパッチを当てるまでには時間を要する場合が多く、その間のゼロデイ攻撃*7への緩和策としてWebアプリケーションファイアウォールの導入が重要です。
■IoT(モノのインターネット)
IoTを「導入済み・利用している」または「検討中・関心がある」企業は半数以上存在。そのうち、IoTに関するサイバー攻撃リスクを認識している企業は4割
さまざまな新技術の中で「IoT」への関心は高く、本調査でも半数以上(52.3%)の企業がIoTを「導入済み・利用している」または「検討中・関心がある」という状況です。(図5)。但し、これらの企業の半数近く(45%)は、実際には「IoTのビジネス活用検討は行っていない」と答えています(図6)。IoTの課題は、「サイバー攻撃リスクの増大」(41.9%)をはじめ、セキュリティに関する項目がいくつか選択されています(図7)。
「IoT」はまだ活用事例が多いとは言えず、またその言葉が指す対象がそれぞれの企業で異なるため、各社の状況に応じた対応が求められます。そのため、まずは自社のビジネスに即したIoTセキュリティの基準を作ることが第一歩となります。各種団体から発行されているIoTセキュリティガイドラインの情報を収集し、自社の基準に取り込み、対策を実践していくことで、IoTセキュリティのレベルを強化していくことが必要です。
「企業における情報セキュリティ実態調査 2017」の詳細については、下記のウェブサイトをご参照ください。
(リンク »)
このプレスリリースの付帯情報
イメージ 用語解説
*1 「企業における情報セキュリティ実態調査 2017」:2016年2月に発表した前回の報告書までは「企業における情報セキュリティ実態調査 2015」のように、年度(4月~3月)に合わせた年をタイトルにつけていたが、今回より発表時点の年に変更。調査期間は2016年9月5日~10月14日
*2 ランサムウェア:感染したコンピュータを「人質」として正常に利用できないようにロックなどをし、復元のために金銭(ランサム=身代金)を要求するソフトウェア
*3 2015年:回答企業数665社
*4 Webアプリケーション:インターネットやイントラネットなどのネットワーク上で、Webブラウザを介して利用するアプリケーションソフトウェア
*5 Webアプリケーションを狙う代表的な攻撃:XSS(クロスサイトスクリプティング)、SQLi(SQLインジェクション)などのWebアプリケーションをターゲットにした攻撃
*6 ゼロデイ脆弱性:ソフトウェアの脆弱性を修正するためのプログラムなどが提供される前の脆弱性
*7 ゼロデイ攻撃:ゼロデイ脆弱性を利用した悪用や攻撃が行われること
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
