標的型攻撃への対策状況（2017年）／後編：IT担当者300人に聞きました（1/3 ページ）

　キーマンズネットでは、2017年1月10日〜25日にかけて「企業における標的型攻撃への対策状況」に関するアンケートを実施した（有効回答数312件）。

　回答者の顔ぶれは、企業規模別では、従業員数が1000人を超える大企業が39.7％、101人以上1000人以下の中堅企業が40.7％、100人以下の中小企業が19.6％という構成比だ。業種別では、IT製品関連業が43.9％、IT関連外の製造業が28.2％、流通・サービス業全般が18.9％、公共機関を含むその他の業種が9.0％という構成比だった。

　IT関連の製品・ソリューション導入に関する立場については、情報システム部門で主に導入・検討や運用に関わる立場が36.2％、一般部門で主にユーザーとして利用する立場が31.1％、顧客に販売するベンダー・SIerとしての立場が23.7％、その他が9.0％という構成比となっている。

　前編では主に、これまでのセキュリティ被害状況や標的型攻撃を受けた経験、攻撃をどの時点で発見できたか、被害内容をレポートした。セキュリティ被害の原因としては「外部からのサイバー攻撃」と「内部の人為的なミスによる被害」が大半を占めており、多くの企業ではサイバー攻撃を受けたとしてもその詳細を把握するには至っていない状況であること、「データが流出」もしくは「システムが破壊されて」始めてサイバー攻撃を受けたことに気が付くケースが1割に上ることなどが明らかになった。

　後編では、セキュリティ対策の社内体制、標的型攻撃対策を何らかのIT製品を導入する形で行っているか、現在導入しているセキュリティ製品、標的型攻撃対策のために今後導入したいと考えているセキュリティ製品といった内容に加え、自社社員に標的型攻撃に対する注意喚起や対策方法のレクチャーなどを行っているかどうかといった内容を明らかにしていく。

　なお、グラフ内で使用している合計値と合計欄の値が丸め誤差により一致しない場合があることをあらかじめご了承いただきたい。

専任の部署または担当者を置いている企業は半数をわずかに上回る程度

　まず、セキュリティ対策の社内体制について聞いた。全体では、「専門部署も専任担当者もおらず、情報システム担当者が兼任している（41.7％）」が最も多く、それに続き「セキュリティ対策専門の部署がある（33.7％）」「専門の部署はないが、専任の担当者がいる（19.6％）」という結果となった。

　1000人以上の大企業では「セキュリティ対策専門の部署がある」と回答した人は58.9％にも上った。しかし、100人以下の中小企業では「特に何も決めていない」と回答した企業が14.8％にも上ることが明らかとなった（図1）。

図1 セキュリティ対策の社内体制

　続けて、標的型攻撃対策を何らかのIT製品を導入する形で行っているかどうかを聞いた。「行っている（66.0％）」と「今後行う予定（8.3％）」を合わせると74.3％で、全体の約4分の3がIT製品の導入による対策に取り組んでいるようだ（図2）。

　一方、約4分の1はIT製品の導入による対策には取り組んでおらず、企業規模が小さくなるほどその比率は高くなっている。中小企業では41.0％が行っていないと回答している。

　前編でセキュリティ被害に遭ったことがあるかどうかを聞いたが、大企業は被害に遭ったことがあると約50％が回答したのに対し、83.9％が対策済み、中小企業は遭ったことがあると回答したのはわずか13.1％であるのに対し、43.9％しか対策済みでない。中小企業では標的型攻撃を受けていてもそれに気付いていないケース、または自社は攻撃を受けるようなデータは持っていないと油断しているケースが多いものと懸念される。

図2 標的型攻撃対策を何らかのIT製品を導入する形で行っているかどうか

Copyright © ITmedia, Inc. All Rights Reserved.