9割が「セキュリティは十分対策している」と回答も、6割がインシデントを経験、〜ドリーム・アーツが大企業の経営層・情シスを対象に調査

　株式会社ドリーム・アーツは1月9日、従業員数1000人以上の大企業を対象とした「情報セキュリティ」に関する調査を行い、その結果を発表した。調査対象のうち、9割以上が「おおむねね十分なセキュリティ対策ができている」と回答した一方で、約6割が直近1年間で情報セキュリティインシデントを経験していた。

　同調査は、従業員数1000人以上の企業の経営層および情報システム部門の500人を対象に、インターネット調査で行った。調査期間は2024年11月22日～25日。

　なお、以降でいう「重要な情報」は、「企業活動の基盤となるサービスで使われる情報のうち、不正なアクセスによりそれが改ざん・破損・紛失・滅失で利⽤不可能になった場合、そのサービス提供に⽀障が⽣じ、事業活動が⽌まるなど影響が特に⼤きいもの」と、同社では定義している。

9割がセキュリティ対策ができていると回答も、6割がインシデントを経験

　はじめに、「重要な情報」のセキュリティ対策をどの程度実施しているかたずねたところ、「十分対策している」と回答した割合が52.6％、「おおむね十分だが改善の余地はある」が38.4％で、あわせて91.0％が「十分な対策ができている」との回答となった。「対策はしているが、十分ではない」は8.2％だった。

「重要な情報」のセキュリティ対策について

　続けて、過去1年間にセキュリティインシデントの経験があるかたずねたところ。「経験がある」との回答が63.4％となり、「経験がない」が25.6％、「分からない」が11.0％と続いた。

過去1年間のセキュリティインシデント経験の有無

　過去1年間に経験したセキュリティインシデントの詳細をたずねたところ、「メールの誤送信」がもっとも多く、続いて、「ランサムウェア攻撃」「マルウェア感染」「外部からの不正アクセス」という結果になった。

過去1年間に経験したセキュリティインシデントの詳細

経営層の約7割は「十分対策している」と回答

　先述した、9割以上が十分と回答した情報セキュリティの対策状況について、役職別の回答を見ると、「十分対策している」と回答した割合が最も高いのは経営層（取締役以上）で68％だった。「おおむね十分だが改善の余地はある」との回答を見ると、経営層が24％、管理職が41.5％となった。

「重要な情報」に対する情報セキュリティ対策状況（役職別）

　このほか、SaaSベンダーの選定する際に重視しているセキュリティ対策の観点についてたずねたところ、「第三者機関による認定」がもっとも多かった。このほか、「当該サービスの認証方式」や「先端テクノロジー」などがランクインした。

SaaSベンダー選定の際に重視するセキュリティ対策の観点

　同社はこれらの結果を踏まえ、特に経営層の7割が⾃社のセキュリティ対策が万全だと考えている点について指摘。情報漏洩やインシデントが実際に発生していない限り、そのリスクを過小評価してしまう傾向があると、調査レポートにおいて分析している。