前回の記事で解説したとおり、トレンドマイクロが行った「法人組織におけるセキュリティ実態調査2019年版」から、2018年4月~2019年3月の1年間で多くの法人組織が何らかのセキュリティインシデントを経験しており、セキュリティインシデント別ではなりすましメールの受信、遠隔操作ツールやランサムウェアといった脅威が上位に入っていることが分かっています。
トレンドマイクロでは、こうしたセキュリティインシデントが発生した後、法人組織が受ける情報漏えいやシステム・サービス停止、訴訟といった実害の状況についても調査しており、例年同様にサイバー攻撃が法人組織の事業に及ぼす影響の大きさが明らかとなっています。
法人組織の重大被害発生率は約4割
2018年4月~2019年3月までの1年間で何らかのセキュリティインシデントを経験し、重大被害が発生した割合は36.3%となっており、昨年調査の42.3%から改善が見られています。中央省庁における重大被害発生率は67.4%と他業種と比べて高い数字が出ており、この要因の一つとして推測されるのが遠隔操作ツールの侵入による被害です。前回の記事のとおり、中央省庁では遠隔操作ツール感染のインシデント発生率が高く出ており、こうしたサイバー攻撃の被害に遭った結果、情報漏えい等の実害につながった可能性があります。また、同様にインシデント発生率が高かった金融、情報サービス・通信プロバイダにおいては、重大被害発生率はそれほど高くはなく、その要因として、これら業種ではサイバー攻撃を受けたものの被害を未然に防ぐことができていたことなどが挙げられます。
.png)
図1:重大被害発生率(業種別)
重大被害別で見てみると、上位5つは「従業員・職員に関する情報漏えい」、「顧客に関する個人情報の漏えい」、「業務提携先情報の漏えい」、「技術情報の漏えい」、「事業戦略に関する情報の漏えい」となっており、セキュリティインシデントが発生した際、法人組織として優先度高く保護すべき対象の一つが情報資産であることを改めて認識する結果となっています。また、ランサムウェアによるデータ暗号化は昨年調査の7.2%から減少して5.1%となっているものの、依然重大被害のトップ10に入っている状態です。ビジネスメール詐欺の代表的な攻撃である「取引先を装った金銭詐欺」、「経営幹部・上層部を装った金銭詐欺」も発生しており、先日、国際刑事警察機構(インターポール)からもビジネスメール詐欺の注意喚起が行われるなど、国内の法人組織でも警戒が必要です。
.png)
図2:重大被害発生率内訳(n=1,431)
年間平均被害総額は4年連続で2億円を超える
こうした重大被害による年間平均被害総額は約2.4億円となっており、過去の調査から4年連続で2億円を超える結果となっています。特筆すべき点としては、サンプル数は少ないものの出版・放送・印刷において、重大被害発生率は低い数字だったにもかかわらず、年間平均被害総額が約4.2億円となっていることです。さらに、重大被害発生率はそれほど高くはない医療もまた、約3.3億円と全体平均を大きく上回っており、これはセキュリティインデントによる被害の発生率が低い業種においても、実被害額という観点では、事業を脅かす深刻な結果につながるリスクがあることを示しています。
.png)
図3:重大被害による年間平均被害総額(業種別)
「法人組織におけるセキュリティ実態調査2019年版」では、こうしたセキュリティインシデントの実被害の状況だけでなく、様々な数値を業種別、地域別、規模別で把握することができます。本調査の詳細は以下をダウンロードしてご確認ください。
「法人組織におけるセキュリティ実態調査2019年版」