トレンドマイクロが「法人組織におけるセキュリティ対策実態調査2016年版」を発表した。日本の民間企業1123件、官公庁・自治体252件でのセキュリティインシデントについての詳しい調査だ。

約4割が情報漏えいなど深刻な被害、被害額は平均2億1,050万円

民間企業と官公庁・自治体合計で1,375の法人のうち、2015年に何らかのセキュリティインシデントを経験しているのは57.2%となった。

このうち、情報漏えいやシステム・サービス停止など「深刻なセキュリティインシデント」を経験しているのは、全体の38.5%にも及んでいる。約4割もの法人が、ビジネスに大きな影響がある被害を受けていることになる。

深刻なセキュリティインシデントの発生率(業種別)

インシデント発生組織における漏えい情報の内訳

トレンドマイクロ 上級セキュリティエバンジェリストの染谷征良氏

これについてトレンドマイクロの上級セキュリティエバンジェリストの染谷征良氏は「深刻なインシデントのうち、上位5位中の4つが情報漏えいだった。社員情報・顧客情報・技術情報などのほか、業務提携先の情報が漏えいした事件が12.6%もある。今回の調査では、中小企業や地方の会社でも大きな被害が出ていることがわかっている。犯人は小さな企業を狙い、取引先の大手企業の情報を盗もうとしているのかもしれない」と分析している。

漏えいの内容について染谷氏は「社員や顧客などの個人情報漏えいは警戒されているが、技術情報・事業戦略などの漏えいへの懸念が低くなっている。企業秘密とも言えるジャンルの情報漏えいも警戒するべきだろう」と注意を呼びかけている。

被害は情報漏えいだけでにとどまらず、二次被害・三次被害も発生している。インシデントが発生した法人では「データ破壊・損失(17.8%)」「システム・サービス停止(9.3%)」「システム破壊(6.4%)」「ブランドイメージ低下(5.7%)」など、情報漏えい以外の被害も出ている。

インシデント発生組織における実害内訳

インシデント発生組織における年間被害額

これらの被害により、年間被害額も大きくなっている。深刻なセキュリティインシデントを経験した530社のうち、1億円以上の被害を受けた法人が25.3%もあった。昨年は16.9%だったから、インシデントがビジネスに与える影響が大きくなっていることは明らかだ。

これについて染谷氏は「インシデントが起きるとセキュリティ会社の調査や、メディア向けの発表、コールセンターの人員を増やすなどの対応が必要になる。さらに漏えい対象者に向けてお詫びの金券を出す、事後対応、セキュリティ対策強化など、さまざまな費用が発生する。社会的な責任から、インシデントを自主的に発表する企業が増えていることから、被害額が増える傾向にある」と述べている。

被害額は1法人当たり平均2億1,050万円であり、昨年(1億3,105万円)の1.6倍にも膨れ上がった。これは大企業だけの話ではない。調査では100名未満の企業のうち24%で、1億円以上の被害が出ている。小企業での1億円被害は、経営を危うくするほどのインパクトがあるだろう。

業種特有の環境や独自システムでもインシデントが発生している

工場などの製造プラント・医療・POSシステムなど、特定の業種だけで使われている独自システムでもセキュリティインシデントが発生している。これら非情報系システムのうち約29.1%が、セキュリティインシデント経験ありと回答している。

平均29.1%がインシデント経験あり

十分な対策が実施されているのは26.8%

被害上位を見ると「住基含む基幹系ネットワーク環境(官公庁自治体:35.3%)」、「運行管理システム環境などの重要環境(運輸・交通・インフラ:35.2%)」、「インターネットバンキング環境(金融:34.3%)」などがある。後述するが、セキュリティ意識が高い業種ほど、インシデントが顕在化している傾向がある。

これらの工場や医療システムなどの業種特有環境で、十分な対策が実施されているのは26.8%に留まった。情報系システムと比べると、対策が不十分なところが多くなっている。

このデータで気になるのは「ATM環境」でもインシデントが発生していることだ。これについて染谷氏は「公にはなっていないものの、銀行などのATMでセキュリティインシデントが発生しているようだ。海外の事例ではATMの管理用のジャックを使った攻撃も行われているので、国内でも警戒する必要がある。」と述べている。

このように業種特有環境でのセキュリティ対策は、情報系に比べると遅れている。染谷氏は「中小企業では『どこからセキュリティ対策をしていいのはわからない』という声もある。まずは各業種のガイドラインをベースにするべき。例えば経済産業省の『サイバーセキュリティ経営ガイドライン』を読み込んで対策をスタートしてほしい」と述べている。

>> [2] 体制づくりは進んだが技術的対策は不十分
>> [3] セキュリティを経営リスクとして認識しているか