ホーム > mixiニュース > IT・テクノロジー > エンタープライズ > 約4割がセキュリティの重大被害を経験、年間被害額は平均2億3000万円超に

約4割がセキュリティの重大被害を経験、年間被害額は平均2億3000万円超に

1

2017年09月14日 16:23  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真セキュリティの重大被害を経験した組織での年間被害額(n=2017年:570、2016年:530)
セキュリティの重大被害を経験した組織での年間被害額(n=2017年:570、2016年:530)

 トレンドマイクロが9月13日、官公庁自治体と民間企業を対象に行った2017年版のセキュリティ実態調査の結果を発表した。調査はセキュリティ被害と対策状況の実態を明らかにするもので、セキュリティ対策の意思決定者と意思決定関与者1361人を対象に2017年6月27日〜6月30日にかけて実施した。


【拡大画像や他の画像】


 2016年に経験したセキュリティインシデントについては、全体の約4割(41.9%)が、個人情報や内部情報の漏えい、ランサムウェアによるデータ暗号化、金銭詐欺などのセキュリティインシデントによる重大被害を経験していることが分かった。年間の平均被害額は、前年平均を約2000万円上回る2億3177万円となるなど過去最高となった。


 重大被害の上位は、1位が「従業員・職員に関する個人情報の漏えい」(14.2%)、2位が「顧客に関する個人情報の漏えい」(10.0%)、3位が「業務提携先情報の漏えい」(8.1%)となり、何らかの情報漏えいや流出被害を経験している法人組織は31.1%に上ることが明らかになった。


 これは、個人情報保護法や割賦販売法の改正、2018年5月施行を控えたEU一般データ保護規則(GDPR)の成立といった個人情報の取り扱いに関する動きが国内外である中で、深刻な数値だとトレンドマイクロは警鐘を鳴らしている。


 近年猛威を振るっているランサムウェアについては、7.6%がデータ暗号化の被害に遭っており、7.4%が取引先や経営幹部、上層部を偽ったビジネスメール詐欺による金銭詐欺被害に遭っていることも分かった。


 重大被害を経験した組織の29.4%が年間1億円を超える被害に遭っており、前年比で4.1ポイント増加。原因究明や事実確認にかかる調査費用、対策の実施、損害賠償といったさまざまな事後対応費用を被害組織が支払っている実情がうかがえる結果となっている。


 セキュリティ施策については、Windowsを標的とした「WannaCry」に代表される2016年以降のランサムウェア騒動を受けて、法人組織の22.5%がセキュリティ予算をすでに増加し、21.6%が予算増加に向けた調整段階にあると回答している。


 何らかの重大被害を経験した組織ほど予算を増やす意向が高まる傾向にある一方、重大被害やインシデントを経験していない組織でも、2割以上が予算のを増やす傾向にあることが分かった。トレンドマイクロは、ランサムウェアが事業継続を脅かす深刻な脅威として認知され、法人組織がセキュリティ投資にやや前向きになり始めていることが推測できるとしている。


 一方、セキュリティ上の脅威を事業継続や組織運営を脅かすリスクとして認識している経営層や上層部は全体の32.1%で、前年の31.1%と比較してほとんど変化がなく、経営層や上層部が自組織のセキュリティ対策に積極的に関与している割合も全体の26.5%にとどまった。


 セキュリティ対策に関する意思決定者や関与者のリスク認識レベルは決して高くなく、サイバー攻撃の脅威が法人組織にとって一層深刻になる一方で、法人組織の多くでサイバーリスクに対する認識が高まらない現状が浮き彫りになっていると指摘。経営層、上層部の理解度、関与度は、セキュリティ対策レベルに相関があり、それを高めることがセキュリティ対策レベルの向上に重要と強調する。


 また、自組織のセキュリティ対策に法規制ガイドラインを反映させている法人組織の割合も、依然として少ないとトレンドマイクロは指摘。改正個人情報保護法(2015年9月成立)については34.5%を占めているが、改正割賦販売法(2016年12月成立)、EU一般データ保護規則(GDPR、2016年4月成立)については、それぞれ全体の13.0%、15.0%にとどまる結果となった。


 ビジネスにおける個人情報の利活用が進む一方で、個人情報を狙うサイバー攻撃は世界的にもとどまるところ知らないという現状を受け、セキュリティ対策の義務化に加え、過失に厳格な罰則規定のある法規制も出てきている。トレンドマイクロでは、こうした法規制への理解と対応力を高め、その上で各種ガイドラインを対策強化の土台とすることが急務としている。


あなたにおすすめ

ランキングIT・テクノロジー

ニュース設定