標的型サイバー攻撃や内部犯行が後を絶たない中、マイナンバー制度開始に向けてあと半年近くになりました。マイナンバー制度に向けてどれだけの法人組織が対応に向けて準備を進めているのでしょうか?またどれだけの法人組織がセキュリティ対策を強化していくのでしょうか?マイナンバー制度開始以前に、法人組織では現時点でどれだけセキュリティ対策ができているのでしょうか?
法人組織におけるセキュリティ対策は、2014年と比較するとやや伸びている傾向にあるものの、全体的にはまだまだ強化が必要で課題が多いことが明らかになりました。トレンドマイクロでは、法人組織におけるセキュリティ対策の実態や課題、セキュリティインシデントによる被害状況を把握する目的で、官公庁自治体、民間企業でセキュリティ対策に携わる意思決定者、運用担当者 1340名を対象に「組織におけるセキュリティ対策実態調査 2015年版」を 2015年3月末に実施しました。
■法人組織のセキュリティ対策は 62.7点で対前年比 4.2ポイント増
今回の調査では、法人組織において実施すべきセキュリティ対策がどれだけ実施できているかを評価する目的で、セキュリティ製品などを使って行う技術的な対策 16項目、従業員や組織向けに実施すべき組織的な対策 10項目、計 26項目を加重配点して 100点満点で評価を行いました。日本国内の法人組織におけるセキュリティ対策は、全体平均は 2014年と比較して 4.2点改善され 62.7点、官公庁自治体 66.0点、民間企業 61.9点となりました。しかし、トレンドマイクロで定義したベースラインのスコアは 72.0点となっており、このベースラインを超えるレベルに到達している業種は情報サービス・通信プロバイダ(77.0点)、金融(72.3点)の 2業種にとどまっています。多くの組織でセキュリティ対策は十分なレベルに到達していないことが分かります。
図1:セキュリティ対策包括度スコアならびに順位
■内部犯行や標的型サイバー攻撃を意識した対策導入が増加
昨年実施した調査結果と比較して、対策が強化されている項目上位 3位を見てみると、「社員教育の徹底」、「監査の定期実施」、「注意喚起の徹底」といった組織的な部分の対策を強化している割合がほかの項目と比較して増えていることが分かりました。上位 10位で見ても、「インシデント対応プロセスの策定と見直し」、「従業員向けガイドラインの策定と見直し」、「セキュリティポリシーの策定と見直し」といった組織的な項目がランクインし、組織的対策が上位 10位中 6位を占めていることが分かります。技術的な対策では、「公開・社内サーバでの総合セキュリティソフトの利用」や「社内システムの脆弱性対策」といったサーバセキュリティに加え、「情報漏えい対策製品の利用」がランクインしています。2014年に国内で発生した内部犯行による情報漏えい事例や Web改ざん、標的型サイバー攻撃といったような被害事例がこれらの強化ポイントに影響しているのではないかと考えられます。
図2:セキュリティ対策強化ポイントトップ10
■法人組織の 95.7%がマイナンバー制度未対応
今回の調査では、2016年1月より本格稼働が始まるマイナンバー制度に対する対応状況についても調査を行っています。調査の結果、対象者はいずれもが法人組織において ITセキュリティに関与している方々であるにもかかわらず、マイナンバー制度について理解していると回答しているのは 47.6%と 5割を切っています。調査実施時は 2015年3月末のため、マイナンバー制度開始に向けて 9カ月前の段階での状況ですが、まだまだマイナンバー制度に関する理解が法人組織でセキュリティの責任を担っている方たちの間でも決して高くないことが分かります。
加えて、マイナンバー制度への ITシステムの対応については、完了していると回答しているのは全体の 4.3%で、95.7%がマイナンバー制度未対応の状況です。現在対応中と回答しているのも 13.8%にとどまっており、約8割強で対応に向けた動きがまだまだ進んでいないことが分かります。また、マイナンバー制度開始に伴って、セキュリティ対策を強化すると回答しているのはわずかに 25.8%と決して多くないことが分かります。
そして着目に値するのは、マイナンバー開始以前にセキュリティ対策がどれだけできているかいないかが、法人におけるマイナンバー対応の方向性にも大いに関係しているという点です。今回の調査で対策スコアがベースラインを上回っているサンプルの 42.6%が「マイナンバー制度開始に伴いセキュリティ対策を強化する」と回答している一方、ベースラインを下回るサンプルの場合にはその割合は 13.9%にとどまるうえ、「何も決まっていない」割合が半数に達します。セキュリティに対してどれだけ温度感が高いか、どれだけセキュリティ対策が現時点でできているかが、マイナンバー対応にも大きく関係していることが良くわかります。
図3:セキュリティ対策レベルとマイナンバー対応の相関関係
*小数点第一位数値は四捨五入のための誤差あり
一昨日も基礎年金番号を含む個人情報が標的型サイバー攻撃によって法人組織から流出した事件が発覚しましたが、基礎年金番号といえばマイナンバー制度が直接的に関係してくる個人情報の一つです。またマイナンバー制度開始に関係なく、正社員・職員を雇用する民間企業や官公庁自治体、派遣社員を登録している派遣会社など、すべての法人で基礎年金番号を含む様々な個人情報を取り扱っており、「他人事」として無視することはできません。そして、これらの個人情報に来年以降「マイナンバー情報」と言う新しい種類の個人情報が、法人が保管する個人情報に加わることになります(マイナンバー情報を含む個人情報を「特定個人情報」という)。
一昨日の事件においても、影響のある基礎年金番号については変更が行われると発表されていますが、今後は架空の変更手続き手数料請求や情報確認と偽って不正に個人情報を取得するなどの詐欺活動も予測できるため、国民一人一人が注意が必要です。しかし何より、マイナンバーや基礎年金番号を含む一連の個人情報が流出した場合には、架空の年金・税金未払い請求詐欺といった犯罪はもちろん、さまざまな詐欺犯罪に悪用される危険性があるということはいうまでもありません。このようなリスクや危険性は、自組織で働く従業員に大きな不利益を与えかねないということを規模・業種問わずすべての法人組織が認識をする必要があります。
- レポートのダウンロードは、こちらから行ってください:「組織におけるセキュリティ対策実態調査 2015年版」