目次

    セキュリティ事故の傾向分析、海外と日本の明確な「違い」とは?|NRIセキュア調査

    神野 宰平
    2019年8月22日

    Portrait of a sad man holding bank card at home-1

    当社で実施した「企業における情報セキュリティ実態調査2019」の結果について、先月よりテーマ毎に本ブログでご紹介させて頂いています。本調査は、NRIセキュアが2018年12月から2019年3月にかけて、日本を含む3カ国を対象に実施したものです。その中で、今回は「脅威・事故」に関連した調査結果について少しご紹介したいと思います。
    ※ブログの最後には、調査レポートを無料ダウンロードできるご案内をしています。

    • <調査概要>
       対象:日本、米国、シンガポール、企業の情報システム・情報セキュリティ担当者
       回答企業数:計2,807 社 ( 日本:1,794 社、米国:509 社、シンガポール:504 社)
       ※以降、米:アメリカ、星:シンガポール を指す

    過去一年で発生した事件・事故

    多くの公益団体やベンダーのセキュリティ調査でもよく取り上げている「過去1年で発生した事件・事故」についてですが、NRIセキュアも例年同様に今年も調査・分析を行いました。

     

    テレビ・ニュースで近年セキュリティ事件・事故を見ることが増えたと感じられている読者の方も多いかと思われますが、本調査の結果でも、各国の約80%以上の企業で、過去一年間にセキュリティの事件・事故が発生していることがわかりました。そのため、企業は引き続き、事件・事故発生を前提とした継続的なセキュリティ対策の推進が求められます。

     

    過去1年で発生した事件・事故

     

    まず、日本で発生した事件・事故の1位は、

    「電子メール、FAX、郵便物の誤送信・誤配送」です。

     

    日本で発生した事件・事故は、1位の「電子メール、FAX、郵便物の誤送信・誤配送」の他にも「紛失・置き忘れ」等のヒューマンエラーが上位を占める結果となったのが特徴的です。

    このヒューマンエラーのセキュリティインシデントの改善は、エラーを個人の責任とせずに、ヒューマンエラーは起こる前提として捉え、組織としてどのように、抑制・防止・予防・検知・回復の観点で対策するかを検討していくことが重要になってきます。

     

    そのためには、メール一本足になりがちなコミュニケーションツールを近年多くの企業が取り入れて、組織活性化にも繋がっているSlackTeams等のチャットにシフトすることや、FAX や郵便をクリプト便等の電子ファイル交換サービスへシフトするなど、いわゆるDX1.0(業務プロセス・インフラ変革に寄与するDXのこと)の意識的な推進も有効な選択肢となっています。

     

    一方、米/ 星の企業では「DoS 攻撃/DDoS 攻撃」が1位となりました。

    「DoS 攻撃/DDoS 攻撃」の他にも、「Webアプリケーションの脆弱性を突いた攻撃」といったサイバー攻撃によるセキュリティインシデントが上位に挙がったのが米/星の特徴です。

     

    米/ 星の企業において、サイバー攻撃起因の事件・事故が上位に来た理由は、以下3つの特徴があるからではないかと分析しています。

    1. 日本企業より、クラウドサービスの活用やデジタル化(DX)が進んでおり、インターネットへ公開しているサービスの数が多い
    2. メールの誤送信や紛失・置き忘れ等のヒューマンエラーを日本のように厳密にセキュリティインシデントとしてカウントしていない可能性が考えられる
    3. 性悪説・性弱説の考え方を踏まえて、ヒューマンエラーが発生しない/しにくい仕組み・プロセスを選択している

     

    ※本ブログでは過去一年で発生した事件・事故の1位の結果のみのご紹介ですが、

    報告書本編では、1位~10位までの結果を見ることができます。

    是非報告書をダウンロードしてご覧ください。

    自社で最も脅威となる事象

    過去一年で発生した事件・事故は日本の1位が「電子メール、FAX、郵便物の誤送信・誤配送」、米/星の1位が「DoS 攻撃/DDoS 攻撃」といった結果になりましたが、自社で発生している事件・事故に関係なく、直近、セキュリティ担当者達が自社で最も脅威と捉えている事象をご紹介していきます。

     

    自社で最も脅威となる事象

    自社で最も脅威となる事象の1位は、

    各国共に「標的型攻撃による情報漏洩」で、同様の結果となりました。

     

    やはり、情報漏洩については、他のインシデントよりテレビやニュースに取り上げられることが多く、セキュリティ担当者の警戒心を高くしていることが影響しているのかもしれません。

     

    日本の特徴は、2位が「内部不正による被害」だった点にあります。

    これは、情報漏洩が最もインパクトの強いインシデントと捉えられていることが背景にあると考えられます。サイバー攻撃ほどの発生件数はありませんが、内部不正は顕在化すると、漏洩件数が大きく、さらに企業にとって機密性が高い情報が漏洩するケースが多くなります。

     

    また、日本では2位の「内部不正による被害」や4位の「メールの誤送信・誤配送」といった組織内の従業員・関係者に起因する、いわゆる社内発の脅威が高い順位となったのも特徴的であると言えます。

    システム管理やメール送受信は、日々の業務遂行に欠かせない内容であることから、脅威の顕在化を予防・牽制すべく、メール誤送信防止の仕組み(ご参考:メール誤送信防止ソリューション)、管理者の特権ID に対する統制やモニタリング(ご参考:特権ID管理ソリューション)などを業務プロセスに組み込むことが望ましいでしょう。

     

    一方、米/ 星は、日本では順位が低かった「ビジネスメール詐欺(BEC)による金銭被害」や「サービス妨害攻撃(DDoS攻撃等)によるサービス停止」が上位となったことが特徴的でした。

    ビジネスEメールによる金銭被害先状況については、次項で詳しくご紹介していきます。

     

    ※報告書本編では、1位~9位までの結果についても見ることができます

    是非報告書をダウンロードしてご覧ください。

    ビジネスメールによる金銭被害詐欺状況

    近年日本企業でも被害が増え始めてきているビジネスメールによる金銭詐欺被害状況について、ご紹介していきます。

     

    ビジネスメールによる金銭詐欺被害状況

     

    米/ 星の企業は、ビジネスメール詐欺で被害が発生した割合が30~40% である一方、

    日本企業では、被害が発生した企業はわずか2%という結果で、大きな差が生じました。

    背景として、米/ 星は60% 以上の企業に詐欺メールが届いているのに対して、日本企業には40% 程度しか届いていない点が挙げられます。

     

    また米/ 星では、メールを受け取った企業の2社に1社が金銭被害にあっていて、攻撃成功率が日本と比較して高い結果となっています。これは、詐欺メールは海外の攻撃者によるものが多く、文面が日本語の場合は不自然な表現になるケースが多いため、攻撃メールであることを見破りやすいからだと推察しています。

     

    日本企業は金銭被害にあった割合が少ないものの、近年では特に海外に子会社・関連会社を持つグローバル企業において、メール盗聴から巧妙に取引先に犯人がなりすまし、偽の請求書を送りつけられて、金銭詐欺に遭った事例も報告されているため、充分注意をしていく必要がありそうです。

     

    ※報告書本編では、「ビジネスEメールによる金銭被害総額の割合についても分析し、ビジネスEメール詐欺の課題解決のための提言も行っております。是非報告書をダウンロードしてご覧ください。

     

    ビジネスメールによる金銭詐欺被害総額の割合

     

    以下の報告書では、本ブログ記事の内容に加えて、「デジタルセキュリティ」、「セキュリティ経営」、「キュリティ人材」、「セキュリティ対策」編の詳細分析結果をまとめています。ぜひダウンロードしてみてください。

     

    新規CTA

    企業における情報セキュリティ実態調査2019

    01 デジタルセキュリティ編

    02 セキュリティマネジメント編

    03 セキュリティ人材編

    04 セキュリティ対策編

    05 脅威・事故編(本記事)

     

    Secure SketCHへの新規登録(無料)はこちらから!

    secure_sketch_sign_up

    facebook linkedin twitter hatena bookmark
    資料ダウンロード

    メルマガ登録