4割以上の組織が重大被害を経験、トレンドマイクロがセキュリティ実態調査：被害に遭った比率が過去最高に

トレンドマイクロが実施した「法人組織におけるセキュリティ実態調査 2018年版」によると、セキュリティインシデントに起因した重大被害を経験した法人組織の割合は過去最高の42.3％に達した。インターネットに接続されていない環境での被害も増加傾向にある。

[＠IT]

　トレンドマイクロは2018年12月19日、セキュリティインシデントによる被害とセキュリティ対策の実態を明らかにするために実施した「法人組織におけるセキュリティ実態調査 2018年版」の結果を発表した。

　同調査によると、2017年の1年間にセキュリティインシデントに起因した重大被害を経験した法人組織の割合は、過去最高の42.3％に上った。

　また、組織の属性によって被害の比率が違うことも分かった。例えば従業員規模が増えるにつれ、被害に遭った組織の比率が高くなり、50〜99人の組織では32.6％だったが、5000人以上の組織では51.4％に上る。

　業種別で割合が50％を超えたのは、中央官庁（54.4％）と建設・不動産（52.8％）の2つだった。逆に20％を下回ったのは出版・放送・印刷（19.2％）だった。

セキュリティインシデントの経験割合（n＝1455、左：従業員規模別、地方別、右：業種別）（出典：トレンドマイクロ）

情報漏えいが被害の上位を占める

　重大被害の上位は情報漏えいが占めた。例えば3位までは、いずれも情報漏えいに起因するもので、これは2016年と同様の傾向。

　具体的には、「従業員・職員に関する個人情報漏えい」が最も多く16.2％。次いで「顧客に関する個人情報漏えい」が11.2％、「業務提携先情報の漏えい」が8.7％だった。

セキュリティインシデント経験割合（出典：トレンドマイクロ）

　今回の調査では、年間被害額の平均は対前年比2024万円減の2億1153万円だった。年間被害額の平均が2億円を超えたのは3年連続。調査対象組織の26.2％で、年間被害額が1億円を超えた。

　重大被害に含まれる金銭的な被害では、ビジネスメール詐欺による「経営幹部・上層部を装った金銭詐欺」が4.1％、「取引先を装った金銭被害」が3.7％で、全体の6.9％がいずれかの金銭被害に遭っていた。

インターネットから遮断されていても被害が発生

　インターネットに接続されていないクローズド環境でも、セキュリティインシデントの発生が増加傾向にあった。

　通常の情報系ネットワークとは異なる業種特有のクローズド環境ではセキュリティリスクは低いと考えられていたが、法人組織の34.0％でセキュリティインシデントが発生した。トレンドマイクロでは、クローズド環境の安全神話が崩れ、さまざまな業種でIoT（Internet of Things）への取り組みが進む中で、セキュリティ対策がこれまで以上に重要となることを改めて裏付ける結果になったとしている。

　一方、サイバーセキュリティに関する課題を事業継続上、組織運営上のリスクとして経営層が「十分認識している」と回答したのは全体の31.4％で、これまでの結果と比べても認識に大きな変化は見られなかった。

　2018年5月に施行されたEU一般データ保護規則（GDPR）に関しても、2017年と2018年の調査結果に大きな変化は見られず、対策が進んでいないことが分かった。

法規制やガイドラインに対する理解や対策の反映度（出典：トレンドマイクロ）

　今回の調査は2018年9月22から25日にインターネット経由で実施した。調査対象は日本国内の官公庁自治体と民間企業に所属する情報セキュリティ対策の意思決定者と意思決定関与者。対象者の数は1455人（うち民間企業が1132人）。