38.5％の法人で情報漏えいをはじめとしたインシデントが発生、被害総額平均は2億1050万円、トレンドマイクロ調査

　トレンドマイクロ株式会社は12日、法人におけるセキュリティ対策の実態について、情報セキュリティ対策の意思決定者およびに意思決定関与者1375人を対象に、6月23日～30日にインターネットで実施した調査の結果を発表した。

　2015年の1年間に、ビジネスに影響を及ぼす「深刻なセキュリティインシデント」を経験した法人は38.5％で、なかでも社員（23.3％）や顧客（19.4％）の情報漏えいの割合が高かった。これらは法人の規模や地域を問わずに発生しており、名前の知られていない企業や地方の企業でも、脅威とは無関係ではないことになる。

　こうした情報を間接的に狙う標的型メールは、数年前までOfficeアプリの脆弱性を利用するものが大半だった。しかし現在、実行ファイルが添付されているケースが9割を占めている一方で、メールやリムーバブルメディアによる実行ファイルの受け取りを禁止している法人は40.1％、メールのみ禁止が56.7％にとどまっている。トレンドマイクロでは、ファイル拡張子やファイルヘッダの情報に基づいて実行ファイルをフィルタリングする機能の有効性に触れるとともに、導入を推奨している。

　システム復旧に加え、売上機会損失や、再発防止、補償といった2次、3次の被害を含むインシデントによる被害総額は、平均2億1050万円。2014年の平均である1億3105万円から約1.6倍に増加した。1億円を上回ると回答した法人も25.3％で、16.9％から増加している。

　規模別では、従業員5000名以上の法人では平均4億5628万円と高く、1億円以上の被害の割合も40.7％と高い。ただし、規模の小さい50～99名の法人でも、被害額の平均は1億3802万円、1億円以上の被害を受けた法人も24.2％で、決して小さな数字とは言えない。

　製造業やインフラ業などの持つプラントや、POSシステムにも、汎用OSを用いるオープン化やIoT化により、インターネット接続されることが増え、セキュリティ対策が重要なものになってきている。こうした非情報系システムでも、「サイバー攻撃」や「内部犯行」によるセキュリティインシデントが29.1％で発生している。内訳は「住基含む基幹系ネットワーク環境（官公庁自治体、35.3％）」「運行管理システム環境などの重要環境（運輸・交通・インフラ、35.2％）」「インターネットバンキング環境（金融、34.3％）」「POSシステム（卸小売、25.9％）」となっている。ただし、50.9％は、こうしたインシデントが発生していない。

　しかし、非情報系システムで「十分セキュリティ対策ができている」と回答しているのは26.8％と少なく、「どちらかというと十分セキュリティ対策ができている（42.7％）」を含めても69.5％で、情報系システムと比べて対策が進んでいないことが分かった。

　トレンドマイクロでは、IoTの進展などにより、非情報系システムでのセキュリティリスクが今後より高まると予想している。また、深刻なセキュリティインシデントが発生した際には、事業継続性の観点で影響の規模や範囲が大きくなることが想定されるとして、これまで以上にセキュリティ対策が重要になるとしている。

　法人におけるセキュリティ対策が、技術面・組織面で網羅性をもって実施されているかを示す「セキュリティ対策包括度」は平均62.0点（技術的対策平均39.7点、組織的対策平均22.3点）だった。総合点数と技術的対策、組織的対策のいずれも2015年からほぼ横ばい。トレンドマイクロが定義する最低限必要な対策レベルを表す72点を依然大きく下回っているとのことだ。

　ただし、脅威の早期発見やインシデント対応を可能にする「CSIRT（Computer Security Incident Response Team）」や「SOC（Security Operations Center）」といった組織の設置についてはそれぞれ14.6％、14.3％と、2014年調査の3.7％、3.0％と比較して10ポイント以上増加した。

　また、セキュリティ関連の役職である「CIO（Chief Information Officer）」、「CISO（Chief Information Security Officer）」、「CSO（Chief Security Officer）」についての設置率も、それぞれ23.1％、22.6％、20.2％で、設置予定・検討中も24.7％、25.4％、26.9％と、セキュリティ対策の体制を整備するための人材の必要性について、法人での理解が進んでおり、セキュリティ対策が進む兆しが見られる。