トレンドマイクロは5月12日、「組織におけるセキュリティ対策実態調査2014」の結果を発表した。日本国内の企業・組織におけるセキュリティ被害と、対策状況の実態を把握するために調査を行なったという。
官公庁や自治体および企業など、従業員50名以上の組織における情報セキュリティ対策に関する意思決定者と意思決定関与者1175名を対象に、3月に調査が行なわれた。
セキュリティ対策については、各回答を100点満点(技術的対策60点満点、組織的対策40点満点)換算でスコアリング。回答者の組織において、技術的な対策と組織的な対策の両側面から包括的なセキュリティ対策がなされているかを検証している。
初めに、全体の66.2%にあたる778名の回答者が、2013年の1年間において組織内で何らかのセキュリティインシデントが発生したと回答した。また、インシデントを経験した組織のうち53.7%が、インシデントをきっかけに、データ破損・損失や社員情報の漏えい、システム・サービス停止といった実害を被っていたと回答している。
回答の中では「顧客・取引先との関係が悪化した」「賠償問題や訴訟にまで発展した」「株価への影響が見られた」といった意見もあり、ビジネスに大きな影響を及ぼすケースも実際に発生していることが見てとれる。
セキュリティ対策の実態に関しては、回答者全体の平均で58.5点(技術的対策平均37.8点、組織的対策平均20.7点)というスコアになっている。これは、トレンドマイクロが定める、企業・組織に最低限必要と考えられる包括的対策のベースラインスコアである72点を大きく下回っている。
対策度の平均スコアを業界別に見ると、対策実施上位業界から「情報サービス・通信プロバイダー:75.3点」「金融:71.3点」「官公庁自治体:66.1点」と、比較的対策が実現できている業界でも、ベースライン前後のスコアにとどまった。
下位業界では、「福祉・介護:45.2点」「医療:52.1点」「サービス:52.4点」と、業界別に対策実施の度合に開きがあることがわかった。
さらに、社内ネットワーク上のクライアントやサーバに対して、総合的なセキュリティ対策が施されている割合や、ネットワークにおける各種対策(ファイアウォール、IDS/IPS、UTM、次世代ファイアウォールなど)の実施率も調査。
多機能型総合セキュリティソフトの利用率は20%未満、ネットワークにおいて依然としてファイアウォールによる対策しか行っていない組織も26.3%と、旧来からのセキュリティ対策の実施にとどまり、多様化・巧妙化するサイバー攻撃に対する有効な対策の導入が進んでいないことが判明した。
セキュリティ対策を行う上での課題としては、「投資の効果が見えにくい:66.0%」「社員のリテラシー・意識が低い:59.1%」「予算がない・足りない:55.8%」「投資の必要性を上層部に説得する材料に欠けている:53.2%」「対策に必要な人材が足りない:52.0%」などが挙げられている。
以上の結果から、トレンドマイクロでは「セキュリティ対策への投資や人材の育成・確保、従業員のリテラシー向上が、効果的なセキュリティ対策を実現するうえで課題」と分析している。