標的型攻撃への対策状況（2017年）／前編：IT担当者300人に聞きました（1/3 ページ）

　キーマンズネットでは、2017年1月10日〜25日にかけて「企業における標的型攻撃への対策状況」に関するアンケートを実施した（有効回答数312件）。

　回答者の顔ぶれは、企業規模別では、従業員数が1000人を超える大企業が39.7％、101人以上1000人以下の中堅企業が40.7％、100人以下の中小企業が19.6％という構成比だ。業種別では、IT製品関連業が43.9％、IT関連外の製造業が28.2％、流通・サービス業全般が18.9％、公共機関を含むその他の業種が9.0％という構成比だ。

　IT関連の製品・ソリューション導入に関する立場については、情報システム部門で主に導入・検討や運用に関わる立場が36.2％、一般部門で主にユーザーとして利用する立場が31.1％、顧客に販売するベンダー・SIerとしての立場が23.7％、その他が9.0％という構成比となっている。

　前編では主に「これまでに何らかのセキュリティ被害に遭ったことがあるかどうか」「そのセキュリティ被害の内容」「標的型攻撃を受けたことがあるかどうか」および「それをどの時点で発見できたか」などを明らかにする。なお、グラフ内で使用している合計値と合計欄の値は丸め誤差により一致しない場合があることをあらかじめご了承いただきたい。

セキュリティ被害の原因としては、「外部からのサイバー攻撃」が4分の3

　まず、これまでに何らかのセキュリティ被害に遭ったことがあるかどうかを聞いたところ、全体の35.6％が「ある」と回答した。企業規模別に見ると、1000人以上の大企業が51.6％と平均を大きく上回り、100人以下の中小企業が13.1％と平均を大きく下回っている。業種別で見ると、製造業で被害に遭っている割合は31.8％であったのに対し、流通・サービス業では45.8％と高いことも分かった（図1-1）。

　ただし、この結果がそのまま「中小企業はセキュリティ被害に遭っていない、遭いにくい」とはならないことには注意すべきだ。それは攻撃を受けていることに気づいていない可能性が否定できないからだ。攻撃者からしてみれば、企業規模よりも攻撃が成功しやすい企業を狙う方が目当ての情報を入手しやすくなるからだ。

　では、そのセキュリティ被害の原因は何だったのだろうか。上記で「ある」とした回答者に聞いてみたところ、「外部からのサイバー攻撃（79.3％）」と「内部の人為的なミスによる被害（47.7％）」が大半を占めていたが、「内部犯行による被害」が8.1％もあることは見逃せない。

図1 セキュリティ被害の経験図・原因（複数回答）

Copyright © ITmedia, Inc. All Rights Reserved.