トレンドマイクロは2019年10月15日、セキュリティインシデント(事故)の被害とセキュリティ対策の実態を明らかにする調査「法人組織におけるセキュリティ実態調査 2019年版」の結果を公表した。国内法人組織の約4割が2018年4月~2019年3月の1年間にセキュリティ事故に起因した重大な被害を経験している。また、金融以外の業種では、セキュリティ対策が進んでいない。
トレンドマイクロは、セキュリティ事故の被害とセキュリティ対策の実態を明らかにするインターネット調査を、2019年6月に実施した。回答者は、法人組織における情報セキュリティ対策の意思決定者と、意思決定関与者である。合計で1431人(民間企業1132人、官公庁自治体299人)から回答を得た。
調査によると、セキュリティ対策の実施度は、業種によって開きがあった(図1)。金融業界については「十分セキュリティ対策が実施されている」と回答した割合が半数以上となる一方で、医療・製造・生産環境、運行管理システム環境などの重要システム環境、POSシステム・ネットワークは、いずれも3割を下回った。
図1:業種ごとのセキュリティ対策実施状況(出典:トレンドマイクロ)拡大画像表示
特に、セキュリティ事故発生率が45.1%と高かった製造・生産環境においては、「十分セキュリティ対策が実施されている」と回答した割合がわずか14.7%だった。この理由の1つとしてトレンドマイクロでは、昨今では工場に対するサイバー攻撃が複数確認されていることから、自法人のセキュリティ対策が十分でないと認識するようになってきたことを挙げる。
なお、国内法人組織の36.3%が、2018年4月~2019年3月の1年間にセキュリティ事故に起因した重大な被害を経験したと回答した。昨年調査の42.3%からは改善しているが、未だに約4割で情報漏洩やデータの破壊などの重大な被害が発生している。原因究明のための調査、改善策の導入、損害賠償といった事後対応を含めた年間平均被害総額は約2.4億円で、4年連続で2億円を超えた。
セキュリティ事故に起因した重大な被害の内容は、上位5位が情報漏洩となった。例年「従業員・職員に関する個人情報」、「顧客に関する個人情報」、「業務提携先情報」の漏洩が上位を占めていることに加え、今年は新たに「技術情報」、「事業戦略に関する情報」の漏洩も上位となった。
経営層・上層部のサイバーセキュリティに関するリスク認識については、「事業継続上あるいは組織運営上のリスクとして十分認識している」と回答した割合は34.6%に留まった。昨年調査の31.4%からわずかに増えたが、改善は依然として見られない。さらに、経営層・上層部のセキュリティ対策への関与について「十分関与している」と答えた割合は25.4%となっており、経営層がセキュリティに十分関与できていない。
セキュリティ関連の法規制およびガイドラインに対する法人組織の理解度とセキュリティ対策への反映度についても、大きな変化は見られなかった。2019年にはEU一般データ保護規則(GDPR)によって制裁金が課される事例が複数あった一方で、同規則について「存在自体を知らない」、「存在を知っているが内容については知らない」と回答した割合は25.5%となった。
