2014年に7割弱がセキュリティインシデントを経験--1億円以上の実被害も

　トレンドマイクロが6月3日に発表した「組織におけるセキュリティ対策実態調査 2015年版」によると、2014年に国内法人の7割近くが何らかのセキュリティインシデントを経験しているという。

　調査は、民間企業や官公庁、自治体など50人以上の法人で情報セキュリティ対策に関する意思決定者や意思決定関与者1340人を対象に実施しているセキュリティ対策について質問した。その回答を100点満点（技術的対策：16問60点満点、組織的対策：10問40点満点）換算で対策の重要度に応じて加重配点しスコアリング、回答者の組織で技術、組織の両側面から包括的にセキュリティ対策されているかを検証した。

　セキュリティ対策包括度は、全体の平均で62.7点（技術的対策：平均40.0点、組織的対策：平均22.7点）となった。対前年比で4.2ポイント向上したものの、トレンドマイクロが定める、組織に最低限必要と考えられる包括対策ベースラインスコアの72点を依然大きく下回っている。

　対策度の平均スコアを業種組織別に見ると、対策実施上位業種は2014年同様、77.0点（前年比1.7点増）の「情報サービス・通信プロバイダー」と72.3点（前年比1.0点増）の「金融」。セキュリティ対策が全体的に強化されている傾向にあるが、ベースラインに満たない組織が多数存在すると説明している。

業界別包括対策度平均スコア（トレンドマイクロ提供）

2014年と2015年を比較した業界別包括対策度平均スコア（トレンドマイクロ提供）

　具体的な実施対策として前年と比較して増加が一番大きく見られたのは、組織的対策にあたる「社員教育を定期的あるいは随時行っている」で、前年比7.3ポイント増となる36.5％が実施。続いて「監査の定期的実施」が38.9％（前年比6.0ポイント増）、「注意喚起を定期的あるいは随時している」が29.3％（前年比4.6ポイント増）となり、対策が強化された項目のトップ3を組織的対策が占めた。

　「情報漏えい対策製品の利用」が49.3％（前年比4.3ポイント増）、「従業員向けガイドラインの策定と定期的見直し」が32.8％（前年比3.9ポイント増）となっており、近年の内部犯行による事例などの影響を受け、組織内で情報セキュリティに対するリテラシー向上や組織体制強化といった分野が注目され、対策が施された結果と推測している。

強化実施対策トップ10（トレンドマイクロ提供）

　今回の調査で66.6％にあたる892人が2014年に「組織内でウイルス感染」「システムからの情報漏えい」「不正ログイン」など何らかのセキュリティインシデントが発生したと回答した。これは、前年値66.2％から0.4ポイント増加とほぼ横ばいとなり、依然として約7割という高い割合の組織がセキュリティインシデントを経験していることになる。