前回の記事で解説した通り、官公庁自治体や民間企業においては、個人情報をはじめとしたさまざまな情報の漏えいからランサムウェアによる業務データ暗号化、そしてビジネスメール詐欺による金銭詐欺被害といったさまざまな重大被害が発生しています。法人組織の事業継続を脅かしかねない深刻な被害が各方面で発生している一方で、セキュリティ対策の実施状況はどうなっているのでしょうか。
トレンドマイクロが実施した「法人組織におけるセキュリティ実態調査 2017年版」では、単純に各セキュリティ対策項目が実施されているのか否かという「白か黒か」ではなく、各対策項目がどのような形で実施されているのかを評価しています。例えば、クライアント用ソフトの修正プログラムの適用にしても、単に「適用しているかどうか」ではなく「どのくらいの頻度、スピード感で適用しているか」という形で評価しているのがその一例です。その上で、組織的対策10項目、技術的対策16項目、合計26項目を総合的に見たときにどれだけ対策が包括的に行われているかを「セキュリティ対策包括度」という形で 100点満点で独自に評価しています。
評価の結果、セキュリティ対策包括度は、全体平均 64.2点と前年の 62.0点より 2.2点向上していることがわかりました。業種別などの観点で見ても全体的にスコアが上昇しています。その中でも特に顕著なのが、中央省庁、市区町村役所といった官公庁自治体、民間企業では運輸・交通・インフラといった業種でのスコアが大幅に上昇しています。官公庁自治体でのスコア上昇は、マイナンバー制度開始や自治体情報システム強靭化向上への取り組みといったものが大きく寄与しているものと考えられます。また運輸・交通・インフラについても、2015年に全面施行されたサイバーセキュリティ基本法や 2020年東京開催のオリンピック・パラリンピック、また IoTの普及などが背景にあると考えられます。積極的な内部的要因が後押しとなってセキュリティが強化されることが理想ではありますが、このような外的要因によってでも対策が進むことはセキュリティのあるべき姿の観点では望ましい傾向です。
図1:業種別セキュリティ対策包括度スコア
(技術的対策60点満点、組織的対策40点満点、合計100点満点で試算)
全体的にスコアが上昇していることは歓迎すべき傾向ではありますが、総合的に見て対策が進んでいる業種とそうでない業種という観点に立つと、その傾向にはここ数年大きな変化がないということが言えます。逆を言うと、セキュリティに関して意識が高い業種とそうでない業種という傾向があるということになります。情報サービス・通信プロバイダは ITを本業としている特性上、セキュリティに関しても感度が高く対策レベルも例年かなり高いところにあります。また金融についても同様に、セキュリティレベルは全体的に見ると非常に高いレベルにあるといえます。
図2:地域別セキュリティ対策包括度スコア
(技術的対策60点満点、組織的対策40点満点、合計100点満点で試算)
規模別で対策レベルを評価した際には、当然ながら従業員規模が大きくなればなるほど対策レベルが上がることは容易に想像できるでしょう。一方、セキュリティ対策包括度を地域別で見たときには、ここ数年「東高西低」の傾向があり、関東地方と中部地方の間を境にセキュリティ対策レベルに大きな差があることも明らかになっています。例年同様の傾向を示していることから、この数値は偶然のものではなく、何らかの要因があると考えられるのではないでしょうか。
セキュリティ対策レベルの差を考えた際に、その大きな要因の一つとして考えられるのが、「経営層・上層部」の存在です。全体的には、経営層・上層部がサイバーセキュリティを事業継続上あるいは組織運営上のリスクとして十分認識している法人組織はわずかに 32.1%でした。昨年調査の 31.1%とほぼ変わらないことから、つまり意識が高い経営層のいる組織が増えていないだけでなく、リスク認識の高い経営層がいる組織とそうでない組織で二極化しているといえます。標的型サイバー攻撃による個人情報の漏えいやランサムウェアによる業務データ暗号化とそれに伴う業務停滞といったものが、ここ数年これだけ世間を騒がせている中でも変わらない経営層・上層部のリスク認識には危機感を覚えざるを得ません。業種別ならびに地域別で見ても、対策が進んでいる業種と地域とリスク認識の高い経営層がいる業種と地域にはある一定の相関があることが読み取ることができます。
図3:経営層・上層部のセキュリティに関するリスク認識度(業種別)
図4:経営層・上層部のセキュリティに関するリスク認識度(地域別)
経営層・上層部のリスク認識は、自組織のセキュリティ対策にどれだけ積極的に関与しているかどうかにも関係があるといえます。経営層・上層部が自組織のセキュリティ対策に積極的に関与していると回答しているのも全体の 26.5%にとどまっています。リスク認識が高くない経営層・上層部がセキュリティ対策に積極的に関与するとは考えにくいことから妥当な数値ともいえます。
図5:経営層・上層部のリスク認識度・対策関与度別セキュリティ対策包括度スコア
(100点満点で試算)
業種別、地域別にみても、セキュリティ対策包括度とある一定の相関関係があることが推測できますが、実際に経営層・上層部のリスク認識別、セキュリティ対策関与度別にセキュリティ対策包括度を評価すると、図5に示す通り明らかに強い相関があることがわかります。このことからも、業種別、地域別で見たときにも経営層・上層部の意識が高い業種、地域ほど対策レベルも高く、経営層・上層部の意識が低い業種、地域ほど対策レベルも低いと結論付けることができます。経営層・上層部がサイバーセキュリティを事業継続上あるいは組織運営上のリスクとしてどれだけ認識しているかは、自組織のセキュリティを強化するにあたって重要なポイントになることは、理屈で考えても容易に想像できますが、数値からもはっきりその傾向が見て取れます。企業や官公庁自治体のセキュリティ対策強化にあたっては、経営層・上層部のリスク認識を高めることができるかどうかがカギになるといえます。
ここでご紹介した調査結果ならびにその他の調査結果に関するより詳しい情報は、「法人組織におけるセキュリティ実態調査2017年版」をダウンロードしてご覧ください。