KPMGコンサルティングは6月26日、企業のサイバーセキュリティに関する実態調査「KPMGサイバーセキュリティサーベイ2017」の結果を発表した。同調査は国内の上場企業および未上場の売上高500億円以上の企業の情報セキュリティ責任者を対象に、2017年4月17日~5月15日に実施されたものだ。
同調査によると、実被害の有無を問わず過去1年間でサイバー攻撃を受けた痕跡が見つかった企業は27.4%。3割近くの企業がサイバー攻撃を受けたことが明らかになった。
|
過去1年間のサイバー攻撃の発生状況 |
その中でも実際に業務上の被害が生じたサイバー攻撃の種類は、ランサムウェアが22.3%でトップで、その他マルウェアが16.8%と続く。
|
サイバー攻撃による業務上の被害 |
また、企業においてサイバー攻撃などのインシデントに対応する組織である「CSIRT(Computer Security Incident Response Team)」を設置済みの企業は2割弱に留まり、設置予定がないと回答した企業は約40%にも達した。さらに設置予定がないと回答した企業のうち、売上高が5,000億円以上の企業でも12.7%と、企業規模を問わずCSIRTの設置が進んでいないことが明らかになった。
|
CSIRTの設置状況 |
訴訟リスクや事業の継続への対策について、善管注意義務違反や株主代表訴訟など、情報漏えいなどが発生した際に経営層が法的な責任を問われる恐れがあるリスクを考慮した具体的な準備や対策は、「できているともできていないとも言えない」を含めると、回答企業の77%が実施できていないことがわかった。
また、サイバー攻撃を受けた際の「インターネット接続の遮断」については、事業場の継続・縮退のための手段を確保している企業は全体の3割程度だったという。
|
善管注意義務違反など、株主代表訴訟などの法的リスクを考慮した対策 |
|
事業上の継続・縮退のための手段の確保 |
セキュリティ対策に対する1年間の投資額を見てみると、回答企業の40%が1000万円以上の投資をしており、7.2%の企業は1億円以上の投資を行っていることがわかった。
2017年度の投資額については、2016年度と比較して増加させると回答した企業は全体の30.5%。5.5%の企業は前年比で5割以上増加すると回答している。
|
サイバーセキュリティに関する投資額 |
|
2017年度のセキュリティ投資額 |
