投資実態、組織体制、被害経験など「2016年 国内企業の情報セキュリティ対策実態調査」発表
企業規模を問わず情報セキュリティ責任者の設置を、IDCが提言
2016年04月18日 07時00分更新
「サイバー保険」加入済み企業は約1割、今後加入する企業は増加へ
この1年間で自社が遭遇したセキュリティ被害については、「ウイルス感染」が20.6%、「サーバーへの不正侵入」が10.6%、「情報漏洩」が8.7%などとなっている。また、被害を受けた資産としては「クライアントPC」が58.8%、「ファイルサーバー」が36.8%、「Webアプリケーションサーバー」が21.4%など。
登坂氏は、昨年度の調査結果との比較から、攻撃の様相が変化していることを指摘した。ウイルス感染(ただし検知できたもの)が減った一方で、サーバー不正侵入や情報漏洩は増えている。またPC以外の、攻撃者にとってより価値が高いサーバーや制御システム、デバイスへとターゲットがシフトしつつある動きが見受けられる。
この1年間で遭遇したセキュリティ被害、および対象となったIT資産(Source:IDC Japan,4/2016)
加えて、社内従業員ではなく「外部第三者からの報告」によって被害が発覚するケースが増えているほか、攻撃活動の潜伏化に伴い被害の発見から収束までにかかる時間もより長期化したことがわかっている。
なお、情報漏洩などで発生した被害を補償する「サイバー保険」の加入済み企業は13.6%だった。今後の加入を予定、または検討している企業は36.1%に上り、「今後、国内企業でもサイバー保険加入率は高まる」(登坂氏)ものと予測されている。
調査結果全体を通して登坂氏は、業種や企業規模にってセキュリティ対策導入の進捗度合いに「二極化」が進んでいることを指摘した。セキュリティ対策の進んでいる大企業そのものではなく、対策の遅れているサプライヤー(取引先企業)への攻撃も頻発していることから、サプライチェーン全体、あるいはグループ内/業界内などでセキュリティ対策レベルを平準化していく必要があることも提言している。
