情報セキュリティ対策、今のままで大丈夫?意識調査で分かった企業の対策状況とは?

ニュース

企業経営に役立つ情報を紹介する「企業経営の名サポート」。今回は、情報セキュリティに関するビジネス環境・意識調査の結果を踏まえ、今、企業にはどういう対策が求められているのかについて紹介します。

昨年末、経営課題・企業動向の明確化を目的として、ビジネス環境・意識調査を実施しました。

多くの企業が、コロナ禍を経て情勢や働き方が大きく様変わりしている中で、試行錯誤を繰り返しながら経営活動に従事されています。2018年にも実施した調査結果と比較しながら、経営課題への取り組みや対応状況などの回答・分析が、業務・経営判断の一助となれば幸いです。

調査範囲が多岐に渡るため、複数回に分けてお伝えしていきますが、今回は特に情報セキュリティに関する調査にフォーカスを当ててお伝えします。

「感染しない対策」+「感染を前提とした対策」が重要!

国立研究開発法人情報通信研究機構(NICT)レポートで、サイバー攻撃関連の通信数の推移をみると、2018年から2021年(2022年2月公開)で2.4倍に増加しています。

NICTER観測レポート2021(NICT)におけるサイバー攻撃関連の通信数の推移
NICTER観測レポート2021(NICT)におけるサイバー攻撃関連の通信数の推移

2022年2月にはトヨタ自動車の取引先が、身代金要求型ウイルス「ランサムウエア」のサイバー攻撃を受け、トヨタ自動車の全国内工場が停止しました。10月末には、大阪急性期・総合医療センターが攻撃を受け、12月下旬までの2カ月間、新規患者の受け入れができなかったなど、業種や企業規模に関わらず被害が出ています。

この事案では、直接侵入されたのではなく、取引先のVPN(Virtual Private Network)の脆弱性をついた感染(サプライチェーン攻撃)であったことから、「感染しない対策」+「感染を前提とした対策」が重要です。

「対策は十分でない」と答える企業が過半数

本調査において、自社のセキュリティ対策について伺ったところ、「十分ではないが、問題が発生してから対応する」が39.86%、次いで「十分である」が38.51%、「十分ではないが、優先順位を設けて対応していく」が21.28%と続きました

情報セキュリティの対応状況
情報セキュリティの対応状況

「問題が発生してから」、もしくは「優先順位を設けて」と、対応の流れに違いはありますが、「十分ではない」と認識している企業は、61.14%と実に6割以上を占めています。

大企業中小企業に分類し、差の検定をしたところ、企業規模の違いによる回答の差がありました。また、経営層情報システム業務従事者の回答を抽出し、差を検定したところ、両者間には差がありませんでした。

企業規模別の対応状況
企業規模別の対応状況。企業規模によって回答に差が出ている(χ2検定:χ2= 6.48796143、P値:0.010860745、5%の有意水準で帰無仮説は棄却される)
業務別対応状況
業務別対応状況。経営層と情報システム業務従事者の回答には差は見られなかった(χ2検定:χ2= 0.630123235、P値:0.427310114、1%、5%の優位水準で帰無仮説を棄却されない)

各企業が対応していきたい対策は?

「対応していきたい対策」として以下の項目が具体的に挙げられました。セキュリティ対策と同時に、「重要な経営情報のバックアップ環境の構築」も対策に含めている企業も多くみられます。

セキュリティ対策には終わりがなく、「どこまで対応すればよいのかわからない」、「今の対策が十分か判断できない」などの課題や、「費用対効果や優先順位を考えながら対策をしていきたい」など、担当者の苦悩も多数寄せられています。
 
<対応していきたい対策>
◆社員の情報セキュリティ・ITリテラシーレベルを高めるための対策・施策
・情報セキュリティ教育・ITリテラシー向上のための社員教育
・標的型メール訓練(無害な標的型メールから、開封率の把握や感染時の対応の疑似体験が可能)
・問題発生時の対応ルールの構築
・PCログ・アクセスログ監視(監視による抑止効果含)

◆アクセス権限やパスワード管理による対策
・サーバ・NAS・重要な情報などへのアクセス権限の設定
・社内LAN・ネットワークへのアクセス制限・機器の管理

その他、サーバ・ネットワーク・メールセキュリティの強化、既存EPPの入替による強化、ふるまい検知・UTM・WEBフィルタリング、多重防御を固めるなども挙げられます。

各企業がセキュリティで重要視している点は?

また、情報システム業務従事者に、IT環境のセキュリティで特に重要視しているもの(3つまで)についてお伺いしたところ、「ウイルス・マルウェア感染による業務の停止」が最も高く、86.18%、「個人情報保護法への対応・機密情報の管理・漏洩」が61.79%と続きました。

IT環境のセキュリティで特に重要視している項目(%)
IT環境のセキュリティで特に重要視している項目(%)

また、業務を運営していく上で、重要視している項目においても「企業活動を遅延なく遂行するための環境整備」が76.42%と最も高くなっています。

情報システム業務を運営していく上で重要視している項目(%)
情報システム業務を運営していく上で重要視している項目(%)

大阪急性期・総合医療センターの事案では、電子カルテ等の経営情報・システムの復旧費用だけでなく、新規患者の受け入れが一定期間できない状態となりました(全てのシステム復旧は2023年1月10日)。

会社法362条、100条などに定められている通り、サイバーセキュリティ体制不備による重要情報の漏洩や事業停止は経営者(取締役)の責任です。

「企業活動を遅延なく遂行するための環境整備」を必要経費ととらえ、「感染しない対策」+「感染を前提とした対策」を取ることが重要です。

情報セキュリティに関するご相談・お問い合わせ先

(株)エイコー(☎0120・506・815)
 E-mail eicoh-inside@eicoh.com
 公式H‌P https://www.eicoh.com/

関連記事

【上州屋&VARIVAS】11月17日(日)に山中湖で 「ドーム船ワカサギフェスタ」

【ジャングルジム】「マイクロジグスナップ」ローリング仕様でトラブル軽減

新表面加工とカラーシステムを採用したサンラインのジギング専用PEライン「ソルティメイト インフィニティブX8/X4」

【明邦化学工業】「VS-7090N」リフトアップシステム搭載!タックルの出し入れがスムーズに

【今シーズン大注目の鮎鈎】「THE BOX G-HARD V2 刻R」。G-HARD V2採用で刻(とき)が更に進化!

上州屋新千葉美浜店がオープン!便利な週末オールナイト営業、地元釣り人を強力応援!

ロッド・リール・ケースのオールインワンセット「ブエナビスタコンボ」。初心者必見の特設サイトもオープン!

【12月22日】SWEN一宮店内に「イシグロ一宮店」新規オープン!アウトドアショップとのコラボでそとあそびをトータルサポート