トレンドマイクロは10月15日、日本国内の官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者を対象に、セキュリティインシデントによる被害とセキュリティ対策の実態を明らかにする調査「法人組織におけるセキュリティ実態調査 2019年版」の結果を発表した。

同調査は、法人組織における情報セキュリティ対策の意思決定者、およびに意思決定関与者、計1,431人(民間企業:1,132人、官公庁自治体:299人)に対して、インターネット調査で2019年6月に実施した。

それによると、国内法人組織の36.3%が2018年4月~2019年3月の1年間にセキュリティインシデントに起因した重大被害を経験したことが明らかになった。昨年調査の42.3%から改善は見られたものの、未だ約4割で情報漏えいやデータの破壊などの重大被害が発生しており、原因究明のための調査費用、改善策の導入、損害賠償といった事後対応を含めた年間平均被害総額は約2.4億円で、4年連続で2億円を超えたという。

セキュリティインシデントに起因した重大被害の内容は上位5位が情報漏えいで、例年「従業員・職員に関する個人情報」「顧客に関する個人情報」「業務提携先情報」の漏えいが上位を占めていることに加えて、今年は新たに「技術情報」「事業戦略に関する情報」の漏えいについても上位にあり、同社では法人組織は自組織の情報資産の保護を改めて見直す必要があるとしている。

  • セキュリティインシデントによる重大被害発生率内訳(n=1,431、複数回答)

セキュリティインシデントの発生率を規模別で見ると、規模が大きくなるにつれてインシデント発生率も比例して上昇する傾向が見られ、従業員規模50名~99名の法人組織におけるインシデント発生率は40.6%となった一方で、5,000名以上の法人組織では75.8%と大きな差がついているが、同社ではこれは、中小規模の組織においてセキュリティ対策が十分でないことで、セキュリティインシデントの発生に気付けていない可能性があると指摘している。

業種特有環境におけるセキュリティ対策の実施度についても依然改善が見られず、セキュリティ対策実施状況を見ると、金融の業種特有環境についてはいずれも「十分セキュリティ対策が実施されている」と回答した割合が半数以上となる一方で、医療・製造・生産環境、運行管理システム環境等の重要システム環境、POSシステム・ネットワークはいずれも3割を下回っているという。

特に、セキュリティインシデント発生率が45.1%と高かった製造・生産環境においては「十分セキュリティ対策が実施されている」と回答した割合がわずか14.7%しかなく、これは、昨今では工場に対するサイバー攻撃が複数確認されていることからサイバーセキュリティ対策の必要性が徐々に浸透し、自法人のセキュリティ対策が十分でないと認識するようになってきたことが要因の一つと推測できるとしている。

  • セキュリティインシデント発生率(業種特有環境別)