セキュリティ事故経験は7割？ 数字でみるニッポン企業の現実：セキュリティ事故の被害を回避するインシデントレスポンス（1/2 ページ）

サイバー攻撃や内部不正による情報漏えいなどの深刻な事故が近年相次ぐ。企業ではセキュリティ事故への対応や対策強化が叫ばれるが、その現状はどうか。各種統計からその実態を探ってみたい。

[國谷武史，ITmedia]

　2014年に発生した内部不正によるベネッセグループでの情報漏えいや、2015年に発生したサイバー攻撃による日本年金機構での情報漏えいを例に、国内では大規模な被害を伴うセキュリティ事故が毎年起きている。企業や組織ではセキュリティ事故への対応力の強化が求められているが、実際のところはどうだろうか。各種統計から読み解いてみよう。

セキュリティ事故は当たり前

　まず、情報処理推進機構（IPA）が2015年6月30日に公表した「企業におけるサイバーリスク管理の実態調査2015」から見ていこう。この調査は同年2月に実施され、1773件の回答があった。

　この中で、過去5年間に情報セキュリティに関する事故を経験した企業は15.3％（271件）に上っている。企業規模別では年商10億円以上の大企業の経験率が総じて高く、事故内容ではサーバのウイルス感染がやや高く、顧客情報や業務情報の流出など、被害が深刻な事故の経験率も大企業では1割を超えた。

　ただ、事故内容の全ての項目で「経験がない」とする回答が8割以上を占め、大半の企業がセキュリティ事故とは無縁なようにも見える。

出典：IPA「企業におけるサイバーリスク管理の実態調査2015」

　次に、IPAとほぼ同時期（2015年6月3日）にトレンドマイクロが発表した「組織におけるセキュリティ対策 実態調査2015年版」をみると、セキュリティ事故の経験についてはIPAの調査結果とは違いがある。

　トレンドマイクロの調査では過去1年間（2014年）に、ウイルス感染や情報漏えい、不正ログインなどのセキュリティ事故を経験した企業・組織が66.6％（892件）に上る。前年比では0.4ポイント増加しているおり、セキュリティ事故を経験している企業は、例年7割近くになるようだ（関連記事）。

　同様に、NRIセキュアテクノロジーズが2016年2月16日に発表した「企業における情報セキュリティ実態調査2015」では過去1年間にセキュリティ事件・事故を経験した企業が665社のうちの約7割（「特になし」の回答は29.2％）だった。

出典：NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2015」

　セキュリティ事故の経験を問う質問で、IPAの調査では対象を「過去5年間」、トレンドマイクロやNRIセキュアテクノロジーズの調査では「過去1年間」としており、その違いが経験率の差に表れているのかもしれない。

　なお、NRIセキュアテクノロジーズによれば、上記の質問の結果について、例年は盗難・紛失などのヒューマンエラーが上位を占めたが、過去1年ではマルウェア感染や標的型メール攻撃が上位に台頭。「標的型メール攻撃への認知の高まりや不正な通信の監視強化といった取り組みにより、従来は検知できていなかった事件や事故を検知できるようになったものと考えられる」と分析する。

　なお、それぞれの調査では「セキュリティ事故はない」と回答した企業が一定の割合で存在している。「ない」とする断言する不明だが、あるベテランの専門家は「明確な事象が確認されない限り、事故は起きていないと考えるのだろう」と解説してくれた。