中小企業の4割が情報漏えいを経験、サイバー攻撃の金銭被害は19万ドル強に

従業員数500人未満の中小企業では、情報漏えいとサイバー攻撃のリスク対策に重点を置いていることが分かった。

[國谷武史，ITmedia]

　シマンテックは8月19日、世界の中小企業のセキュリティ意識調査の結果（米国では6月に発表済み）を発表した。多くの企業が情報漏えいとサイバー攻撃を経験し、これらのリスクへの対策を重視しているという。

　情報保護で重視するリスクについて、5段階中で「最も重視する」「2番目に重視する」との回答は、情報漏えいで74％、サイバー攻撃で58％に上った。従来の犯罪や自然災害、テロについてはいずれも30％未満で、多くの中小企業が情報漏えいとサイバー攻撃を重大なリスクととらえる傾向にあった。

　情報漏えいを重視する企業の42％は、過去に情報漏えいを経験しており、すべての企業が収益機会の損失や対応コストの発生などの金銭的な影響を受けたと回答した。原因別では、「組織内部」に起因するものが40％（過失21％、不正19％）、「パートナー企業」が25％（過失13％、不正12％）、「第三者による不正」が24％となっている。

　被害内容の内訳（複数回答）では、「収益機会の損失」が46％と最多を占め、「ブランドへのダメージ」「直接的な金銭被害」「顧客信用の失墜／顧客関係のダメージ」も4割前後を占めていた。こうした被害の影響は、従業員数の規模が小さい企業ほど大きいと同社では指摘している。

　サイバー攻撃を重視する企業では、過去1年間に攻撃を受けた企業が74％に上った。攻撃の頻度は「多少あった」が51％で、「定期的にあった」「大量にあった」が21％。56％が「影響を受けた」と答えた。

　サイバー攻撃による損失内容（複数回答）について、53％が「生産性の低下」を挙げており、「収益の損失」や「直接的な金銭被害」「信用低下」「攻撃後の対応コスト」「顧客信用の失墜／顧客関係のダメージ」も目立っている。

　損失内容ごとの平均金額と中央値（最も回答数の多いレンジ）では、顧客対応や調査などの「直接的な被害」が平均19万4625ドル（中央値は5000ドル）、「株価下落」が平均14万5045ドル（同2500ドル）、「信用低下」が平均13万3286ドル（同5000ドル）などとなった。平均金額は中央値よりも多くなるが、これは回答企業の中に損失規模が巨大だったケースが含まれるため。サイバー攻撃での損失金額が巨額になることを示しているという。

サイバー攻撃による被害金額（クリックで拡大）

　情報漏えいやサイバー攻撃のリスク対策として、同社は社員への教育や機密情報の適切な保護、バックアップ・リカバリの実施などを挙げている。「社員に不適切な行為をさせない、データを安易に持ち出させないといった基本を徹底すべき。万が一に備えてデータやシステムをすぐに復旧できる仕組みも整備していただきたい」（プロダクトマーケティングマネジャーの広瀬努氏）

　調査は5〜6月に、従業員数500人未満の中小企業の経営者や管理職、IT担当者などを対象に電話でアンケートしたもの。北米、中南米、中東・欧州、アジア太平洋地域の28カ国2152社から回答があり、うち日本から100社が回答している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら