トレンドマイクロは6月3日、日本国内の法人組織におけるセキュリティ被害と、対策状況の実態を明らかにする調査「組織におけるセキュリティ対策実態調査 2015年版」を公開した。

この調査は、官公庁自治体および民間企業など、従業員50名以上の法人組織における、情報セキュリティ対策に関する意思決定者および意思決定関与者1340名を対象に行われた。回答は100点満点(技術的対策60点満点、組織的対策40点満点)換算でスコアリングされている。

これによると、セキュリティ対策包括度は回答者全体の平均で62.7点(技術的対策平均40.0点、組織的対策平均22.7点)だった。この結果は前年比で4.2点のポイントアップだが、トレンドマイクロが定める法人組織に最低限必要な72点を下回っている。72点を上回ったのは、情報サービス・通信プロバイダーと金融の2業種だけだった。

業界別、包括対策度平均スコア(n=1340 括弧内数値は各母数)

業界別、包括対策度平均スコア(2015年対2014年比較)

なお、セキュリティへの具体的な実施対策として前年度から最も増加したものは「社員教育を定期的あるいは随時行っている」だった。他にも、「従業員向けガイドラインの策定と定期的見直し」などで意識が向上している。このような傾向から、近年の内部犯行による事例などの影響を受け、企業・組織内において情報セキュリティに対するリテラシー向上や組織体制強化といった分野が注目されていることが推測される。

強化実施対策トップ10(n=1340)

今回の調査において、全体の66.6%にあたる892名が、2014年の1年間において「組織内でウイルス感染」、「システムからの情報漏えい」、「不正ログイン」など何らかのセキュリティインシデントが発生したと回答した。

実害を受けたと回答した467名のうち16.9%、と2割近い回答者が1億円以上の被害を受けており、深刻な被害に繋がっているケースもあることが判明した。また、23.1%が被害額の見当がつかないと回答しており、約4社に1社の企業が被害額を把握できていないことも分かった。

2014年セキュリティインシデントによる年間被害総額(n=467)

マイナンバーに関する対策の遅れも目立った。マイナンバーに関し、「マイナンバーの名称を知っている」または「制度についても理解している」と回答した1212名を対象に、ITシステムの対応状況を質問したところ、「完了している」と回答したのはわずか4.3%だった。

また、1212名の内25.8%がマイナンバーに関し「セキュリティを強化する予定」と回答した。その一方で、38.5%が「何も決まっていない」と回答しており、マイナンバー制度への対応について未着手の企業・組織が多く存在していることが明らかになった。

業界別マイナンバーに向けたITシステムの対応状況(n=1212)

マイナンバー制度開始に伴うセキュリティ対策の施策(n=1212)

トレンドマイクロは、企業・組織では今後、万が一のセキュリティインシデント発生に備え、セキュリティ対策の見直しと必要予算の確保が必要になるだろうと指摘している。