トレンドマイクロは12日、法人組織におけるセキュリティ対策調査レポート「法人組織におけるセキュリティ対策 実態調査 2016年版」を公開した。Webサイトからダウンロードできる(PDF36ページ)。

レポートは同社が、法人組織におけるセキュリティ対策の技術面や組織面の実際、インシデントとビジネスにおける影響を大きな調査目的としており、6月に官公庁自治体や民間企業の法人組織の情報セキュリティ意思決定者などを対象とした計1,375(民間1,123、官公庁自治体252)サンプルのアンケート調査をもとにした分析となる。

法人組織のうち約4割の企業にあたる530名が「個人情報の漏洩」や「生産・操業停止」などビジネスに影響を与える深刻なインシデントを2015年1年の間に経験したと回答。システム復旧費用や売上機会損失、再発防止策や補償など年間被害総額の平均が約2億1,050万円にのぼり、前年度の同社の調査の平均1億3,105万円と比べると約1.6倍と大きく増加していることがわかった。

また本年度からは、製造業やインフラ業のプラントや小売業のPOSシステムのような業種特有の非情報系システムにおける調査も行っており、広範な分野でのサイバー攻撃や内部犯行の割合も公表している。同調査によると、こらら非情報系システムにおける「サイバー攻撃」や「内部犯行」は、平均で29.1%が経験したと回答。「住基含む基幹系ネットワーク環境(官公庁自治体35.3%)」、「運行管理システム環境などの重要環境(運輸・交通・インフラ:35.2%)」、「インターネットバンキング環境 (金融:34.3%)」が上位3位となる。

一方、法人組織におけるインシデントへの体制整備は大きく前進が見られている。CSIRT(Computer Security Incident Response Team)とSOC(Security Operations Center)の設置率はそれぞれ14.6%(2014年調査3.7%)、14.3%(2014年調査3.0)と約10%の増加。CIO(Chief Information Officer)、CISO(Chief Information Security Officer)、CSO(Chief Security Officer)などのセキュリティ関連の要職設置企業も同様に増加しており、セキュリティに関する体制整備と舵をとる人材の必要性への理解が進んでいることがわかった。

(長岡弥太郎)