標的型攻撃への対策状況（2018年）／後編：IT担当者300人に聞きました（1/2 ページ）

　キーマンズネットは2018年4月2〜12日にわたり、「標的型攻撃の対策状況に関する調査」を実施した。全回答者数197人のうち情報システム部門が45.2％、製造・生産部門が19.8％、営業・販売・営業企画部門が9.6％、経営者・経営企画部門が5.6％などと続く内訳であった。

　今回は「セキュリティ対策の社内体制」や「標的型攻撃に対する注意喚起やレクチャーの方法」「現在導入しているセキュリティ製品」など、企業における標的型攻撃対策の実態を把握するための質問を展開。標的型攻撃を含むセキュリティ対策で「専門部署」を設置する割合は、大企業と中小企業で5倍以上も開きがあるなどが明らかになった。なお、グラフ内で使用している合計値と合計欄の値が丸め誤差により一致しない場合があるので、事前にご了承いただきたい。

セキュリティ対策で「専門部署」の設置割合、大企業と中小企業で5倍以上も開き

　はじめにセキュリティ対策の社内体制について、全体では「専門部署も専任担当者もおらず、情報システム担当者が兼任している」が37.1％と最も多く、続いて「セキュリティ対策専門の部署があり、部門長が統括している」24.4％、「セキュリティ対策専門の部署に加え、役員がCISOの任に就いている」18.8％、「専門の部署はないが、専任の担当者がいる」15.2％となった（図1-1）。全体としては少数だが、特に100人以下の中小企業で「特に何も決めていない」11.8％や「全て従業員に任せている」2.9％と回答する割合が高く、大企業と比較してセキュリティ意識の低さが見て取れる。セキュリティ対策専門の部門があり、担当者がいる割合も全体では43.2％とほぼ半数だが、従業員規模別に見ると大企業では75.8％であるのに対し、中小企業では14.7％と5倍以上の開きがあった。

　前編でも紹介したが、実際に受けたセキュリティ被害（複数選択）のうち53.8％が「内部の人為的なミスによる被害」や「内部犯行による被害」によるものであり、企業におけるセキュリティ対策を「システムによるインフラ整備」と「従業員への注意喚起や対策指南」に大別したとき、後者が果たす役割は非常に大きい。そこで実際に「標的型攻撃に対する注意喚起や対策方法のレクチャーなどを行っているか」を聞いたところ、全体では8割が「行っている」と回答しているものの、従業員規模によって実施有無の差は激しかった（図1-2）。また実施企業のうち過半数がメールや掲示板、eラーニングでの周知を選択していた（図2）。

図1 セキュリティ対策の社内体制

図2 標的型攻撃に対する注意喚起やレクチャーの方法

Copyright © ITmedia, Inc. All Rights Reserved.