情報セキュリティ対策、今のままで大丈夫?意識調査で分かった企業の対策状況とは?

ニュース

企業経営に役立つ情報を紹介する「企業経営の名サポート」。今回は、情報セキュリティに関するビジネス環境・意識調査の結果を踏まえ、今、企業にはどういう対策が求められているのかについて紹介します。

昨年末、経営課題・企業動向の明確化を目的として、ビジネス環境・意識調査を実施しました。

多くの企業が、コロナ禍を経て情勢や働き方が大きく様変わりしている中で、試行錯誤を繰り返しながら経営活動に従事されています。2018年にも実施した調査結果と比較しながら、経営課題への取り組みや対応状況などの回答・分析が、業務・経営判断の一助となれば幸いです。

調査範囲が多岐に渡るため、複数回に分けてお伝えしていきますが、今回は特に情報セキュリティに関する調査にフォーカスを当ててお伝えします。

「感染しない対策」+「感染を前提とした対策」が重要!

国立研究開発法人情報通信研究機構(NICT)レポートで、サイバー攻撃関連の通信数の推移をみると、2018年から2021年(2022年2月公開)で2.4倍に増加しています。

NICTER観測レポート2021(NICT)におけるサイバー攻撃関連の通信数の推移
NICTER観測レポート2021(NICT)におけるサイバー攻撃関連の通信数の推移

2022年2月にはトヨタ自動車の取引先が、身代金要求型ウイルス「ランサムウエア」のサイバー攻撃を受け、トヨタ自動車の全国内工場が停止しました。10月末には、大阪急性期・総合医療センターが攻撃を受け、12月下旬までの2カ月間、新規患者の受け入れができなかったなど、業種や企業規模に関わらず被害が出ています。

この事案では、直接侵入されたのではなく、取引先のVPN(Virtual Private Network)の脆弱性をついた感染(サプライチェーン攻撃)であったことから、「感染しない対策」+「感染を前提とした対策」が重要です。

「対策は十分でない」と答える企業が過半数

本調査において、自社のセキュリティ対策について伺ったところ、「十分ではないが、問題が発生してから対応する」が39.86%、次いで「十分である」が38.51%、「十分ではないが、優先順位を設けて対応していく」が21.28%と続きました

情報セキュリティの対応状況
情報セキュリティの対応状況

「問題が発生してから」、もしくは「優先順位を設けて」と、対応の流れに違いはありますが、「十分ではない」と認識している企業は、61.14%と実に6割以上を占めています。

大企業中小企業に分類し、差の検定をしたところ、企業規模の違いによる回答の差がありました。また、経営層情報システム業務従事者の回答を抽出し、差を検定したところ、両者間には差がありませんでした。

企業規模別の対応状況
企業規模別の対応状況。企業規模によって回答に差が出ている(χ2検定:χ2= 6.48796143、P値:0.010860745、5%の有意水準で帰無仮説は棄却される)
業務別対応状況
業務別対応状況。経営層と情報システム業務従事者の回答には差は見られなかった(χ2検定:χ2= 0.630123235、P値:0.427310114、1%、5%の優位水準で帰無仮説を棄却されない)

各企業が対応していきたい対策は?

「対応していきたい対策」として以下の項目が具体的に挙げられました。セキュリティ対策と同時に、「重要な経営情報のバックアップ環境の構築」も対策に含めている企業も多くみられます。

セキュリティ対策には終わりがなく、「どこまで対応すればよいのかわからない」、「今の対策が十分か判断できない」などの課題や、「費用対効果や優先順位を考えながら対策をしていきたい」など、担当者の苦悩も多数寄せられています。
 
<対応していきたい対策>
◆社員の情報セキュリティ・ITリテラシーレベルを高めるための対策・施策
・情報セキュリティ教育・ITリテラシー向上のための社員教育
・標的型メール訓練(無害な標的型メールから、開封率の把握や感染時の対応の疑似体験が可能)
・問題発生時の対応ルールの構築
・PCログ・アクセスログ監視(監視による抑止効果含)

◆アクセス権限やパスワード管理による対策
・サーバ・NAS・重要な情報などへのアクセス権限の設定
・社内LAN・ネットワークへのアクセス制限・機器の管理

その他、サーバ・ネットワーク・メールセキュリティの強化、既存EPPの入替による強化、ふるまい検知・UTM・WEBフィルタリング、多重防御を固めるなども挙げられます。

各企業がセキュリティで重要視している点は?

また、情報システム業務従事者に、IT環境のセキュリティで特に重要視しているもの(3つまで)についてお伺いしたところ、「ウイルス・マルウェア感染による業務の停止」が最も高く、86.18%、「個人情報保護法への対応・機密情報の管理・漏洩」が61.79%と続きました。

IT環境のセキュリティで特に重要視している項目(%)
IT環境のセキュリティで特に重要視している項目(%)

また、業務を運営していく上で、重要視している項目においても「企業活動を遅延なく遂行するための環境整備」が76.42%と最も高くなっています。

情報システム業務を運営していく上で重要視している項目(%)
情報システム業務を運営していく上で重要視している項目(%)

大阪急性期・総合医療センターの事案では、電子カルテ等の経営情報・システムの復旧費用だけでなく、新規患者の受け入れが一定期間できない状態となりました(全てのシステム復旧は2023年1月10日)。

会社法362条、100条などに定められている通り、サイバーセキュリティ体制不備による重要情報の漏洩や事業停止は経営者(取締役)の責任です。

「企業活動を遅延なく遂行するための環境整備」を必要経費ととらえ、「感染しない対策」+「感染を前提とした対策」を取ることが重要です。

情報セキュリティに関するご相談・お問い合わせ先

(株)エイコー(☎0120・506・815)
 E-mail eicoh-inside@eicoh.com
 公式H‌P https://www.eicoh.com/

関連記事

「釣りが楽しめる自然環境を守ろう!」フィッシング遊のスタッフが人気釣り場3カ所で清掃活動。今後も活動を継続

【もりげん】「大漁メバル仕掛D-120」一度掛けたらバレにくい驚異の貫通力!

釣りとは無縁の仕事からロッドビルダーに。そのキッカケとは…?ラジオ番組「OUTDOOR&FISHING」佐野直樹さん出演

【アルコール検査義務化】対策出来てますか?具体的な対策方法を紹介。知らないとマズイ!

好釣果に子供も笑顔!「イッパッチファミリー釣り教室in明石」開催【イチバンエイトグループ】

【フィッシングショーOSAKA】ダイワブースで廃棄漁網の再生活用を展示。ウェア回収に協力して非売品プレゼントも!

【キャスティングにトライ!】ゲーム感覚で釣りのキャストを体験できるイベント、若洲海浜公園で開催

【ダイワ】#go_fishing SS(スターティングセット)。入門者にピッタリ、バッグも使えるぞ!