2015年に発生した年金受給者に関する個人情報漏えい事故や、2016年に入って発生した旅行予約者に関する個人情報漏えい事故は、知名度の高い組織が標的型サイバー攻撃に遭ったことと、漏えいした可能性のある個人情報の量と種類も要因となり大きく報道を賑わせました。トレンドマイクロでは、日本国内の民間企業や官公庁自治体におけるセキュリティインシデントや対策の実態を把握する目的で、「法人組織におけるセキュリティ対策実態調査 2016年版」調査を実施しました。
調査の結果、国内の法人組織の実に 38.5%が「個人情報の漏えい」や「生産・操業停止」など、ビジネスに影響を及ぼす「深刻なセキュリティインシデント」を 2015年一年間に経験したと回答しました。「社員情報の漏えい(23.3%)」や「顧客情報の漏えい(19.4%)」に代表されるように、保有する個人情報が多くの法人組織で漏えいしていることが分かります(図1)。また近年急速な勢いで深刻な問題になっているランサムウェアによるものと考えられるデータ破壊など、実に様々な深刻な被害が発生していることが明らかになりました。
図1:深刻なセキュリティインシデント被害内訳
前述のとおり、報道される深刻なセキュリティインシデントは、大手企業に代表されるように社会に広く認知されている組織で発生しているものに限られています。しかし調査の結果、従業員規模別では 50~99名が 31.3%、地域別では中国地方が 32.8%とそれぞれ最も低く、企業規模や地域に関係なく情報漏えいなどの深刻な被害が国内で発生していることが分かりました。今回の調査結果からも、事業継続性に影響を及ぼす深刻な被害がいたるところで発生しているのが現状で、報道で取り上げられる事例、被害組織から公表される事例が氷山の一角にすぎないことが分かります。
図2:規模別深刻なセキュリティインシデント発生率
図3:地域別深刻なセキュリティインシデント発生率
また深刻なセキュリティインシデントを経験した場合の被害額も甚大です。2015年に深刻なセキュリティインシデントを経験した場合の年間被害額は平均2億1,050万円です。これは前年調査の平均1億3,105万円を約1.6倍も上回っています。年間被害額には、事故発覚後に行う調査や対応策にかかる費用はもちろん、個人情報が漏えいした場合に当該個人に対するお詫びなど実に様々な費用が発生します。億単位の被害が発生していることは驚くべき事実ですが、2014年に大手通信教育会社で発生した内部犯行事故では 260億円の特別損失が計上されており、今回の調査結果は決して非現実的なものではないと言えます。
図4:深刻なセキュリティインシデントによる年間被害額
これまでトレンドマイクロが発表している通り、2016年上半期も様々なサイバー攻撃が国内の法人組織を悩ませています。ランサムウェアによる法人の被害報告件数は 1,510件と前年同期比で約9倍増、国内における標的型サイバー攻撃の疑いのある通信は月平均 59万件と被害は深刻です。また国内では比較的認知が低いものの実に深刻な被害をもたらす「ビジネスメール詐欺(Business Email Compromise、BEC)」と呼ばれるサイバー犯罪も、国内に入り込んできていることが分かっています。組織レベルでのセキュリティ対策強化は、待ったなしのビジネス課題と言えます。
国内の官公庁自治体や民間企業がどのようなセキュリティ被害に直面しているのかについて、より詳しくは以下のレポートをご一読ください。
- 詳細レポートはこちら:
「法人組織におけるセキュリティ対策 実態調査 2016年版」
