読者に聞いたセキュリティ事情 半数が「サイバー攻撃を受けた（かも）」：アンケート結果を公開（1/2 ページ）

ITmedia エンタープライズではセキュリティをテーマに読者アンケートを実施しました。結果からはサイバー攻撃の経験や事故内容、「人が足りない」といった苦悩など、厳しい事情が見えてきました。

[國谷武史，ITmedia]

　ITmedia エンタープライズ編集部は、5月に読者アンケートを実施しました。今回のテーマは「セキュリティ」です。寄せられた241件の回答結果からは読者の所属する企業や組織での厳しい事情やさまざまな課題が浮かび上がってきました。

サイバー攻撃の経験と被害の有無は？

　まず、過去1年間にサイバー攻撃を受けた経験と被害の有無については、44.5％が「攻撃を受けた（可能性を含む）」と回答しました。「被害があった（可能性を含む）」は9.2％でした。なお、サイバー攻撃は事実の把握が難しいとも言われることから、「事実を把握できているケース」と「受けた可能性があるケース」に分けて尋ねています。

過去1年間にサイバー攻撃を受けた経験と被害の有無（単一回答、n=241）

　一方、「攻撃を受けていない」は30.7％で最も多く、「分からない」は24.9％でした。「分からない」と回答した中には、実際には攻撃や被害に遭った可能性も含まれますので、より多くの企業がサイバー攻撃の危機に直面していると想定されます。

　また、過去1年間に発生したセキュリティに関する事故（自由回答）では標的型攻撃やマルウェア感染、不正アクセス、情報漏えいに関するものが多数挙げられました。その一部を紹介します。

標的型攻撃、マルウェア関連

• 「銀行の偽サイトからのプライベートなメールを社内に転送し、クリックしたことで、マルウェアをダウンロードし、感染した」
• 「一部のPCがランサムウェアに感染し、当該PCを初期化してバックアップから回復させた」
• 「バラマキ型メール攻撃での添付ファイルを開封して感染。外部通信は防御し、PCを初期化した」

不正アクセス関連

• 「管理用のサーバに侵入事案が発生して、専門業者に調査を依頼した」
• 「外部からのSMTPの不正利用やSSHの不正ログイン、VPNの不正接続などの試みが頻繁にある」
• 「ポートスキャンや特定ポートへのアタック」
• 「Webサイトの改ざんでデータが消去された」

情報漏えい関連

• 「メール誤送信、入退室カードの紛失、携帯電話の紛失などなど……」
• 「電車内にノートPCを置き忘れた」
• 「USBメモリの社内紛失（再発見）があり、以降は使用禁止にした」

セキュリティ担当者は決めていない？

　情報セキュリティの運用・管理体制では、35.3％が「情報システム部門が所管」、18.3％が「情報セキュリティ専任部門が所管」と回答し、専門性の高い部門が担当している企業が多い状況でした。しかし、「部門責任者や担当者が所管」（15.4％）や「特に決めていない」（14.1％）など現場任せの状況も目立っています。

情報セキュリティの管理・運用体制（単一回答、n=241）

　セキュリティ対策での悩み事（自由回答）は、大半が「ヒト」や「カネ」にまつわるものでした。

ヒトにまつわる悩み事

• 「専門技術者の不足」
• 「個々のユーザーの行動を管理しきれない」
• 「リテラシー教育に一抹の不安がある。定期的な講習でも効果が出るとは思えない」
• 「共用ストレージの容量不足を理由にした私用ポータブルHDDの黙認」
• 「専門の担当者がおらず、また、専門知識も会社として不足している」

カネにまつわる悩み事

• 「事故が起きた後は調査費用がポンと出るのに、予防のための予算が全くつかない」
• 「導入コストが高すぎる、柔軟かつ容易に運用したい」
• 「サイバー攻撃の技術が年々高度になっているので、セキュリティ予算が増加していくのではないかと心配している」
• 「同族経営なので、高齢の経営者にセキュリティ対策の経費を理解してもらいにくい」
• 「経営層が情報セキュリティ対策はIT部門だけが対応すればよいと捉えている。そのIT部門に技術的対策の予算がつかない」