企業経営に役立つ情報を紹介する「企業経営の名サポート」。今回は、情報セキュリティに関するビジネス環境・意識調査の結果を踏まえ、今、企業にはどういう対策が求められているのかについて紹介します。
昨年末、経営課題・企業動向の明確化を目的として、ビジネス環境・意識調査を実施しました。
多くの企業が、コロナ禍を経て情勢や働き方が大きく様変わりしている中で、試行錯誤を繰り返しながら経営活動に従事されています。2018年にも実施した調査結果と比較しながら、経営課題への取り組みや対応状況などの回答・分析が、業務・経営判断の一助となれば幸いです。
調査範囲が多岐に渡るため、複数回に分けてお伝えしていきますが、今回は特に情報セキュリティに関する調査にフォーカスを当ててお伝えします。
「感染しない対策」+「感染を前提とした対策」が重要!
国立研究開発法人情報通信研究機構(NICT)レポートで、サイバー攻撃関連の通信数の推移をみると、2018年から2021年(2022年2月公開)で2.4倍に増加しています。
2022年2月にはトヨタ自動車の取引先が、身代金要求型ウイルス「ランサムウエア」のサイバー攻撃を受け、トヨタ自動車の全国内工場が停止しました。10月末には、大阪急性期・総合医療センターが攻撃を受け、12月下旬までの2カ月間、新規患者の受け入れができなかったなど、業種や企業規模に関わらず被害が出ています。
この事案では、直接侵入されたのではなく、取引先のVPN(Virtual Private Network)の脆弱性をついた感染(サプライチェーン攻撃)であったことから、「感染しない対策」+「感染を前提とした対策」が重要です。
「対策は十分でない」と答える企業が過半数
本調査において、自社のセキュリティ対策について伺ったところ、「十分ではないが、問題が発生してから対応する」が39.86%、次いで「十分である」が38.51%、「十分ではないが、優先順位を設けて対応していく」が21.28%と続きました
「問題が発生してから」、もしくは「優先順位を設けて」と、対応の流れに違いはありますが、「十分ではない」と認識している企業は、61.14%と実に6割以上を占めています。
大企業と中小企業に分類し、差の検定をしたところ、企業規模の違いによる回答の差がありました。また、経営層と情報システム業務従事者の回答を抽出し、差を検定したところ、両者間には差がありませんでした。
各企業が対応していきたい対策は?
「対応していきたい対策」として以下の項目が具体的に挙げられました。セキュリティ対策と同時に、「重要な経営情報のバックアップ環境の構築」も対策に含めている企業も多くみられます。
セキュリティ対策には終わりがなく、「どこまで対応すればよいのかわからない」、「今の対策が十分か判断できない」などの課題や、「費用対効果や優先順位を考えながら対策をしていきたい」など、担当者の苦悩も多数寄せられています。
<対応していきたい対策>
◆社員の情報セキュリティ・ITリテラシーレベルを高めるための対策・施策
・情報セキュリティ教育・ITリテラシー向上のための社員教育
・標的型メール訓練(無害な標的型メールから、開封率の把握や感染時の対応の疑似体験が可能)
・問題発生時の対応ルールの構築
・PCログ・アクセスログ監視(監視による抑止効果含)
◆アクセス権限やパスワード管理による対策
・サーバ・NAS・重要な情報などへのアクセス権限の設定
・社内LAN・ネットワークへのアクセス制限・機器の管理
その他、サーバ・ネットワーク・メールセキュリティの強化、既存EPPの入替による強化、ふるまい検知・UTM・WEBフィルタリング、多重防御を固めるなども挙げられます。
各企業がセキュリティで重要視している点は?
また、情報システム業務従事者に、IT環境のセキュリティで特に重要視しているもの(3つまで)についてお伺いしたところ、「ウイルス・マルウェア感染による業務の停止」が最も高く、86.18%、「個人情報保護法への対応・機密情報の管理・漏洩」が61.79%と続きました。
また、業務を運営していく上で、重要視している項目においても「企業活動を遅延なく遂行するための環境整備」が76.42%と最も高くなっています。
大阪急性期・総合医療センターの事案では、電子カルテ等の経営情報・システムの復旧費用だけでなく、新規患者の受け入れが一定期間できない状態となりました(全てのシステム復旧は2023年1月10日)。
会社法362条、100条などに定められている通り、サイバーセキュリティ体制不備による重要情報の漏洩や事業停止は経営者(取締役)の責任です。
「企業活動を遅延なく遂行するための環境整備」を必要経費ととらえ、「感染しない対策」+「感染を前提とした対策」を取ることが重要です。
情報セキュリティに関するご相談・お問い合わせ先
(株)エイコー(☎0120・506・815)
E-mail eicoh-inside@eicoh.com
公式HP https://www.eicoh.com/