［データは語る］経営会議で情報セキュリティについて審議・報告する企業はわずか3割―JUAS

　一般社団法人 日本情報システム・ユーザー協会（JUAS）は2016年3月25日、国内企業の情報セキュリティへの取り組みに関する調査結果を発表した。それによると、過去1年間に偽装メールを使ったサイバー攻撃が「発生した」企業は25.1％に達した。「発生した可能性があるが把握していない」企業も14.8％で、合わせて約4割の企業が偽装メールによるサーバー攻撃を受けた可能性があることが明らかになった。

　JUASでは、上場企業とそれに準ずる企業を対象に調査を実施。企業規模別の動向も分析した。それによると、偽装メールを使った攻撃が発生した割合は、企業規模が大きくなるほど増えるという。売上高1000億円以上1兆円未満では40.8％だが、1兆円以上では56.3％が「発生した」と回答。「発生した可能性があるが把握していない」までを含めると、売上高1000億円以上1兆円未満では56.3％、1兆円以上では64.6％に達した。同社では、企業規模が大きくなれば、狙われやすくなると同時に、情報セキュリティの監視体制が中堅・中小企業よりもしっかりしていると指摘。そのために「発生した」と回答する割合が髙くなっている可能性もあると分析した。

　また、情報セキュリティにおけるインシデントが発生したとききに、「CSIRT」のような専任組織を設けているのは全体の3.8％とごく少数で、42.8％の企業が「IT部門が対応する」と回答した。「IT部門など複数部門で構成する兼任組織（委員会など）を設置」する企業も27.3％に達し、同社では8割弱の企業で何らかの対応組織が定義されていると分析した。

　同社では、企業における経営層が情報セキュリティにどう関与しているかについても調査。それによると、経営会議でセキュリティについて審議・報告する企業は約3割にとどまった。同社では、「経営幹部が積極的に情報セキュリティに関与しようとしているかというと、実態はそうではない」と指摘している。

［JUASの発表資料へ］