ICT活用に関するアンケート調査(第1回)

セキュリティ対策は”しない、する気もない”が主流?

2017.04.21 Fri連載バックナンバー

 企業を狙ったサイバー攻撃が後を絶ちません。特に最近は、IoT機器の脆弱性を突くニュースも報じられています。ビジネスにICTが活用されるほど、サイバー攻撃の脅威も増えていきます。

 そこでBizコンパスでは、ビジネスパーソンを対象に、情報セキュリティに関するアンケート調査を実施しました。それによると、多くの企業が、サイバー攻撃の被害につながる可能性のあったトラブルを経験しているにも関わらず、それを防ぐためのセキュリティサービスを導入していない、もしくは対策がわからないということが明らかになりました。

 本記事はこのアンケート調査の結果を元に、企業のセキュリティ対策の実情を掘り下げます。(2017年2月16日~2017年3月3日、回答者数1,849人)

 

 

気になる見出しをクリック

「社内のセキュリティ意識が課題」49.3%

 今回のアンケートの対象となったビジネスパーソンのうち、最も多かった職種が「情報システム構築運用」(25.7%)でした。以下「総務・人事」(14.5%)、「営業」(13.9%)、「経営企画・経営管理」(11.8%)の順で続いています。いずれも日頃から個人情報、顧客情報などの情報に関わる機会の多い職種となっています。

  「自社における『情報セキュリティの課題』は何と捉えているか?」という問いでは、「社内におけるセキュリティ意識の醸成」(49.3%)がトップとなりました。2位には「未知のマルウェアの早期検知」(42.2%)、3位には「標的型攻撃に対する高度な防御」(40.8%)が続いており、マルウェアやサイバー攻撃といった外的脅威以上に、そもそも自社のセキュリティ意識が課題であるという“内的脅威”を問題視していることがわかりました。

 続いて、「重大な事故には至らなかったが、事故につながる可能性があった問題はどのようなものだったか」という設問には、「業務上のメールの誤送信」(40.1%)が最も多い結果に。さらに、「業務情報が入ったパソコンの置き忘れ・盗難」(29.2%)、「プリンターから出力した資料を放置していた」(26.3%)、「業務情報が入ったスマートフォン・タブレットの置き忘れ・盗難」(25.1%)と続き、上位はすべて人為的なミスが原因のものとなっています。

 このように、多くの企業で「情報セキュリティ」というと、サイバー攻撃など外的要因よりも、まずは従業員の過失といった内的要因への対策が先決であるということがいえそうです。内的要因による情報流出を防ぐためには、情報セキュリティ責任者を設け、従業員が扱う情報を把握し、機密性に基づき格付けを行い、社内のルールや規則を明確にし、周知徹底する必要があるでしょう。

 内的要因としては、今回のアンケート結果にはなかったものの、スタッフが故意に不正を働くケースも考えられます。特に情報システム管理者は、社内システムに精通し、高いアクセス権限を与えられているため、不正に手を染めやすい状況にあります。アクセス権限の分散化や最小化、情報システム管理者の作業を監視するなどといった対策の検討も求められます。

あまりにアバウトなセキュリティ対策の現状

 今回のアンケートでは、情報セキュリティ対策の導入状況についても、いくつかの質問を実施しています。

 まず「現在すでに導入している情報セキュリティ対策サービスは何か」については、「特になし」(36.0%)が最も高い数値となり、続いて「Webアプリケーションファイアウォール」(33.4%)、「セキュリティコンサルティング」(20.2%)、「IDS/IPS(不正侵入検知・防御システム)」(19.8%)と続きました。

 「今後導入を検討しているセキュリティ対策サービス」を挙げる問いでは、「特になし」が48.8%と、半数に迫る数値となりました。次点以降は「セキュリティコンサルティング」(12.6%)、「標的型攻撃・未知のマルウェア対策(サンドボックス)」(11.5%)、「セキュリティ運用のアウトソーシング」(10.9%)と、「特になし」が具体的なセキュリティ対策を大きく引き離す結果となりました。

 さらに、「最高情報責任者(CIO)もしくは最高セキュリティ責任者(CSO)の役職を設けているか」という問いについては、最も割合が高かったのが「いずれも設置していない」(57.5%)で、過半数を超える結果となりました。一方で、「最高情報責任者を設置」(13.4%)、「最高セキュリティ責任者を設置」(13.4%)、「最高情報責任者と最高セキュリティ責任者の両方を設置」(12.8%)は少数派となりました。

 この結果を見ると、多くの企業ではセキュリティ対策が導入されていないうえ、これからも特に導入する予定もなく、さらにいえばセキュリティ対策に関する社内体制も整っていないという、セキュリティ対策のアバウトな現状が明らかになりました。

ご覧いただくにはログインが必要です。

新規会員登録(無料)はこちら

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

セキュリティ対策は楽観的に考えてしまいがち

 とはいえ、すべてのビジネスパーソンがセキュリティ対策にまったく興味や関心がないわけではありません。「情報セキュリティ対策に関して、今後Bizコンパスで取り上げてほしい/情報を充実させてほしいテーマ」という問いについては、「標的型攻撃・未知のマルウェア対策」(33.7%)、「脆弱性診断」(28.9%)、「セキュリティコンサルティング」(26.8%)の順となり、「特になし」は15.3%と、比較的少数派となっています。

 こうした結果をかんがみると、多くの企業ではセキュリティ対策を充実させたいと考えている人は多いものの、実際の対策までには至っていない企業が多いということがいえそうです。

 取り上げてほしいテーマ上位にあがった、「標的型攻撃・未知のマルウェア対策」については下記の記事を一読いただくことをお勧めします。

新・営業にダマされない!セキュリティの選び方

 記事では、巧妙化するサイバー攻撃の手口から自社を守るため、セキュリティサービスの導入においてダマされてしまいがちな失敗例を取り上げています。このほか、自社に最適なセキュリティサービスを選ぶためのチェックシートや、サービス事業者の比較表もダウンロードできます。

人工知能を活用する最新セキュリティソリューション

 マルウェアが標的型攻撃に対してどのような役割を担っているのか、そして人工知能を活用した最新のセキュリティソリューションとはどのようなものかを解説します。現在では、ウイルス対策ソフトで検知できないマルウェアが日々生み出されており、旧来のセキュリティ対策では攻撃を防ぐことは困難なため、「SIEM」という分析基盤を用いて膨大なログを分析する仕組みを紹介します。

情報セキュリティ対策の優先順位はどう決めるべきか

 セキュリティに関するトラブルは、実際に被害に遭わないと、その怖さを実感することは難しいかもしれません。そのため、ついつい「今までも被害にあっていないから、これからも被害に遭うことはないだろう」と楽観的に考えてしまいがちです。

 しかし、実際にはアンケート結果にもあった通り、事故につながりうるヒヤリとした経験を持つ人は多くいます。いつ、どこで、その被害に遭うのかわかりません。

 たとえ内的要因が原因であれ、外的要因が原因であれ、セキュリティに関するトラブルが発生し、情報を流出させてしまった時には、自社のビジネスが無傷ではいられません。自社に必要な情報セキュリティ対策は何なのかを明確にし、情報セキュリティ対策の優先順位を決めて取り組んでいくことは、非常に重要だといえます。

 自社に適したセキュリティ対策は何なのかについては、Bizコンパスで過去に掲載した下記の2つの記事を一読いただき、社内全体で検討することから始めてみてはいかがでしょうか。

セキュリティ対策「まず何をすべきか」の最適解!

 企業には、サイバー攻撃を防ぐためのセキュリティ対策が必要としつつも、「どこまでセキュリティ対策をすれば良いのか」という点が問題です。セキュリティ対策をしないとどのようなマイナス面があるのかを検討し、その悪影響の大きさに従ってセキュリティ対策を順に考えていく方法を解説します。

セキュリティ人材不足を解決する“目から鱗”の方法

 日本ではいま、セキュリティ人材の不足が叫ばれています。セキュリティ人材を探している間も、企業はサイバー攻撃の脅威に晒されています。どのように対処すれば良いのでしょうか?専門知識がなくても対応できるセキュリティ業務は自社で行い、セキュリティの専門知識が必要な一部の業務をアウトソーシングで対応することを勧めています。ITの知識だけでは解決できない専門知識については、どのようにアウトソーシングすべきなのでしょうか? その詳細については、ぜひ本記事でご確認ください。

このテーマについてもっと詳しく知りたい

Bizコンパス編集部

Bizコンパス編集部

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter