当社で実施した「企業における情報セキュリティ実態調査2018」の結果を、テーマ毎に公開しています。本調査は、NRIセキュアが2017年12月から2018年3月にかけて、日本を含む5カ国を対象に実施したものです。その中で、今回は「脅威・事故」に関連した調査結果をまとめました。
ブログの最後には、調査レポートを無料ダウンロードできるご案内をしています。
- <調査概要>
対象:日本、米国、英国、シンガポール、豪州企業の情報システム・情報セキュリティ担当者
回答企業数:計1110 社 ( 日本:107 社、米国:500 社、英国:197 社、シンガポール:210 社、豪州:96 社)
標的型攻撃、ランサムウェアが5カ国すべてで恐れられる脅威
まず初めに自社にとって最も脅威となる事象を、10個の選択肢の中から、対策状況に関わらず3つまで選択した結果です。
■自社にとって最も脅威となる事象
自社において最も脅威となる事象は、調査対象国5カ国すべてで「標的型攻撃による情報漏洩」が1位、「ランサムウェアによる被害」が2位に挙がっています。2017年には世界的に報道されたランサムウェアの攻撃や、引き続き標的型攻撃による情報漏洩も各国で話題になりました。この2つは世界共通のセキュリティ脅威として認識されている状況がうかがえます。
日本と海外4カ国の上位の項目を比較すると、日本は「内部不正による被害(情報漏洩や業務停止)」が挙がっていることが特徴的といえます。順位ではオーストラリア、米国も3位、4位とそれぞれ上位に挙がっていますが、割合では4社に1社程度です。日本企業は2社に1社が「内部不正による被害」を脅威と考えており、海外4カ国と比較して日本企業の関心が高さがうかがえます。この要因の一つとして、過去、一般の報道メディアを含めて大きく報道された複数の情報漏洩事件が日本企業における脅威認識に影響していることも考えられます。
■内部不正などの社内のリスク意識には差異あり
自社における脅威のうち、4位から10位までをみると、日本では情報機器の紛失や、メールの誤送信等のヒューマンエラーを脅威と考える企業が海外4カ国より比較的多いといえます。
一方で「サービス妨害攻撃(DDoS)」や「Webサイトの改ざん、自社Webサービス」等のサイバー攻撃の脅威認識は日本は海外4カ国と比較して低いといえます。この差異は前述のとおり「内部不正への関心の高さ」が要因であることに加えて、対象となるサービスを自社で利用・提供していないため脅威として認識していない事例も考えられます。
ここまで5カ国の脅威の認識を確認しました。つぎに実際に過去1年間で調査対象企業において発生した事件・事故種別を見てみましょう。
日本では「ヒューマンエラー」による事故が多く、海外4カ国ではマルウェア等の「サイバー攻撃」による事故が多い結果に
■過去1年間に発生した事件・事故
過去1年で発生した事件・事故として、海外4カ国では、脅威認識として上位に挙がった「マルウェア感染」などのサイバー攻撃が多いといえます。日本企業は「誤送信」や「設定ミス」などのヒューマンエラー関連の事象が上位に挙がっていることが特徴的です。
海外4カ国と比較して日本企業では「システム基盤やWebアプリケーションなどへのサイバー攻撃」が発生したと回答した企業は少ないですが、 これは所有システム数と、何を「事故」と定義するのか、認識の違いによる影響も考えられます。日本では、1位、2位のヒューマンエラーに加えて、海外4カ国では8位以下の「システム設定ミス、誤操作」がランクインしています。このようなヒューマンエラーの発生が特に日本で顕著に多いわけではなく、これらを事故として認識するかどうかが違いであるともいえます。
【※1】 DoS攻撃はDenial of Service attackの略。ネットワーク経由で大量のパケットの送信や不正な入力をし、サービスを停止に追い込む攻撃。DDoS攻撃はDistributed Denial of Service attackの略。ネットワーク上に分散したコンピュータを踏み台として行うDoS攻撃。 【※2】 複数のサービスで同一IDとパスワードを設定していることを悪用し、パスワード流出したサービスのパスワードリストで他のサービスへの不正アクセスを行う攻撃。【※3】特定の企業や組織を狙い、巧妙に偽装されたメールを送り、マルウェアに感染させることで情報を漏えいさせる攻撃。【※4】 PC上のデータやシステムへのアクセスを制限し、その制限の解除に金銭を要求するマルウェア。
調査対象の全5カ国共通で脅威認識として上位に挙がった「ランサムウェアによる金銭等の要求」は日本のみ5位にランクインしています。この要因は、事故に対する認識差異ではなく、技術的な対策の違い、対策有無が影響していることも考えられます。
▼参考ブログ▼
■ビジネスEメール詐欺の被害状況
2017年に世間を騒がせた事件・事故として、ビジネスEメール詐欺の拡大も挙げられます。2017年には米国のFBIや日本の警視庁なども、ビジネスEメール詐欺への注意喚起を行いました。
日本では想定する脅威の4位に挙がったビジネスEメール詐欺ですが、今回の調査対象の日本企業においては、半数以上の企業でビジネスEメール詐欺と思われるメールを受信していますが、金銭被害が発生したという回答はありませんでした。
日本企業においては、特に海外グループ会社や海外取引に関わる被害事例が報道されています。IT側の技術的な対策だけでは、ビジネスEメール詐欺の検知・対応は困難であるため、ビジネス部門やコーポレート部門も含めた企業グループ全体でのチェック機能も求められます。
環境変化に合わせた対応が不可欠
今回の調査の結果、日本企業と海外4か国と比較した脅威認識の違いがわかりました。
加えて、当社のセキュリティ対策状況可視化サービス(Secure SketCH)のデータと突き合せた更なる分析結果によると、認識している脅威と対策状況やスコアの相関があきらかになりました。
以下の報告書では、本ブログ記事の内容に加えて、「セキュリティ経営」、「セキュリティ人材」、「セキュリティ対策」編の詳細分析結果、及びSecure SketCHのデータを掛け合わせた日本企業に関する更なる分析結果をまとめています。ぜひダウンロードしてみてください。
企業における情報セキュリティ実態調査2018
03 脅威・事故編(本記事)
上記報告書の分析に用いたセキュリティ対策レベルは、Secure SketCHに登録するとすぐに自社のスコアがご覧いただけます。この機会に、無料で始められるSecure SketCHに新規登録し、自社の状況を見える化してみてはいかがでしょうか。
Secure SketCHへの新規登録(無料)はこちらから!
