国内企業・組織の3分の2が過去1年間にセキュリティインシデントを経験、マイナンバー対応完了はわずか4.3％

　トレンドマイクロ株式会社は3日、日本国内の企業・組織におけるセキュリティ被害や対策状況に関する調査「組織におけるセキュリティ対策実態調査 2015年版」の結果を公表した。

　調査は2015年3月に実施したもので、官公庁、自治体、民間企業など、従業員50人以上の法人組織における、情報セキュリティ対策に関する意思決定者および意思決定関与者1340名が対象。組織内で実施しているセキュリティ対策について質問し、対策を100点満点（技術的対策60点、組織的対策40点）換算でスコアリングした。

　セキュリティ対策のスコアは平均62.7点（技術的対策平均40.0点、組織的対策平均22.7点）で、対前年比では4.2点のポイントアップとなった。ただし、トレンドマイクロが定めた、法人組織に最低限必要と考えられる包括対策のベースラインスコアは72点で、依然として下回る結果となっている。

　業種／組織別の平均スコアは、「情報サービス・通信プロバイダー」が77.0点（前年比1.7点増）」で最も高く、「金融」が72.3点（同1.0点増）で続く。

業界別、包括対策度平均スコア

業界別、包括対策度平均スコア（2015年対2014年比較）

　具体的な実施対策のうち、前年と比較して実施率が最も増加したのが「社員教育を定期的あるいは随時行っている」で、前年比7.3ポイント増の36.5％が実施したと回答した。

　このほか、「監査の定期的実施」の38.9％（前年比6.0ポイント増）、「注意喚起を定期的あるいは随時している」の29.3％（同4.6ポイント増）などの実施率が増加。近年の内部犯行による事例などの影響を受け、企業・組織内において情報セキュリティに対するリテラシー向上や組織体制強化といった分野が注目され、対策が施された結果と推測している。

強化実施対策トップ10

　また、調査において、全体の66.6％にあたる892人の回答者が、2014年の1年間において「組織内でウイルス感染」「システムからの情報漏えい」「不正ログイン」など何らかのセキュリティインシデントが発生したと回答。前年調査の66.2％からはほぼ横ばいで、依然として約7割という高い割合の企業・組織がセキュリティインシデントを経験している。

　インシデントを経験した892人のうち、実害が発生したと回答した回答者467人に被害総金額を尋ねた質問では、40.5％が1000万円未満と回答する一方で、16.9％が1億円以上と回答。23.1％は被害額の見当がつかないと回答している。

2014年セキュリティインシデントによる年間被害総額

　2016年1月から運用開始されるマイナンバー制度について、「マイナンバーの名称を知っている」または「制度についても理解している」と回答した1212人を対象にした質問では、ITシステムの対応状況が「完了している」という回答は4.3％にとどまった。

　マイナンバー制度開始に伴うセキュリティ対策については、25.8％が「セキュリティを強化する予定」と回答しているが、38.5％は「何も決まっていない」と回しており、対応について未着手の企業・組織が多く存在している。

業界別マイナンバーに向けたITシステムの対応状況

マイナンバー制度開始に伴うセキュリティ対策の施策

　トレンドマイクロでは、昨年1年間で何かしらのセキュリティインシデントが発生したという回答が66.6％に上ったように、セキュリティインシデントはもはや対岸の火事ではないと説明。企業・組織においては、インシデントが発生した際の影響を整理し、必要なセキュリティ対策が適切に実施されているのかの見直しや、それにともなうセキュリティ対策予算確保などの検討が必要だと指摘している。