情報セキュリティ担当者が一番恐れているのは「内部犯行」

日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は3月27日、「企業IT利活用動向調査2018」の一部結果を速報として発表した。この調査は国内企業693社のIT/情報セキュリティ責任者を対象に行われたもので、近年脅威とされる「マルウェア感染」などについても調査している。

情報セキュリティ担当者が一番恐れているのは「内部犯行」

インシデントは3年連続「社内PCのマルウェア感染」が1位

国内企業の情報セキュリティが問題になっている。この調査は、情報セキュリティについてのインシデント(事故につながりかねない出来事)の認知状況や情報セキュリティ対策の取り組み状況、2018年5月から施行予定のGDPR(EU一般データ保護規則)への対応状況、働き方改革への取り組みなどについて調査・分析している。

以下で具体的にみていこう。

出典:プレスリリース「過去1年間に認知した情報セキュリティ・インシデントの種類」

まず過去1年間に認知した情報セキュリティ・インシデントの種類。トップは「社内PCのマルウェア感染」であった。これ過去3年もっとも認知されている項目で、2018年調査では27.3%で、2017年より0.7%増加している。

また、2018年に特に増加したのは「内部不正による個人情報の漏洩・滅失」が10.8%(前年8.3%)、「外部からのなりすましメールの受信」が15.9%(前年10.7%)である。

特に「外部からのなりすましメールの受信」については、従業員規模別のいずれの規模でも認知率が増加している。2017年から国内において金銭をだまし取るBEC(ビジネスメース詐欺)による被害が出始めたことから、早急な対応が求めらると同社では警告している。

また「公開サーバ等に対するDDoS(ディードス)攻撃」も今年の特徴的なインシデントのひとつだという。DDoSとは、標的に複数のマシンから大量の付加を与えることで、オンラインサービスの機能を停止させてしまう攻撃のことである。DDoS対策が難しいのは、攻撃者を特定するのが困難であるという点だ。

2010年に警察庁のWebサイトが攻撃を受けたこともあり、2020年東京オリンピックに向けて、DDoS攻撃は今後さらに増えていく可能性もある。


人気記事
資本主義から価値主義へ移行する社会
スマートコントラクトの仕組みとは?
アマゾン銀行業参入の脅威
メガバンクRPA導入で迫るリストラXデー
「サイバーセキュリティの5大トレンド」


もっとも危惧するのは「内部犯行による重要情報の漏洩・消失」

次に、セキュリティ・リスクの中で重視する度合いを聞いた。

出典:プレスリリース「セキュリティ・リスクの重視度合い(経年比較)」

「標的型のサイバー攻撃」および「内部犯行による重要情報の漏洩・消失」については、「極めて重視しており、経営陣からも最優先で対応するよう求められている」との回答が2016年以降年々増加している。

「標的型のサイバー攻撃」は33.3%、「内部犯行による重要情報の漏洩・消失」30.9%と2018年はともに3割を超えた。

また、2017年11月のサイバーセキュリティ経営ガイドラインの改定に伴い、経営層のセキュリティ対策への関与が高まっていることもみてとれる。ITRのシニア・アナリスト大杉豊は、この調査結果についてこう語っている。

「今回の調査では、特徴的な情報セキュリティ・インシデントが大企業だけでなく、中堅および中小クラスの企業でも認知が拡大していることが確認されました。セキュリティ上の脅威を現実のものとして捉える企業の裾野が2020年の東京五輪へ向けてより広がっており、セキュリティは大きな経営課題となっています。」

現場での「働き方改革」の実感は薄い

本調査では、政府が推進する「働き方改革」についても質問している。

その結果、従業員の「働き方改革が経営目標として掲げられている」と答えた企業の割合は、2018年は34.2%と前年より増加した。しかしながら、「テレワークの制度が整備されている」および「在宅勤務制度が整備されている」企業の割合は微増にとどまったとしている。

優秀な情報セキュリティ人材を確保することは、企業にとって重要な課題である。しかし日本では経営陣の意識不足など、対策の遅れも指摘されている。海外の対策事例なども参考に、働きやすい環境整備を加速させていかなくてはならない。