特集
» 2019年11月07日 08時00分 公開

標的型攻撃への対策状況(2019年)/前編

キーマンズネットの読者を対象に標的型攻撃の対策状況を聞いた。前編では企業におけるセキュリティ被害の経験の有無や、その具体的な内容を明らかにしている。

[キーマンズネット]

 キーマンズネットは2019年10月2日〜25日にわたり、「標的型攻撃の対策状況」に関する調査を実施した。全回答者数188人のうち情報システム部門が35.6%、製造・生産部門が18.6%、営業・販売・営業企画部門が9.5%、経営者・経営企画部門が6.9%などと続く内訳だった。

 今回は「セキュリティ被害の経験と原因」や「自社を狙ったサイバー攻撃を受けたことがあるか」、その場合の「被害例」など企業を狙う標的型攻撃の実態を把握するための質問を展開。その結果、全体の31.4%が実際にセキュリティ被害を経験していることなどが明らかになった。なお、グラフ内で使用している合計値と合計欄の値が丸め誤差により一致しない場合があるので、事前にご了承いただきたい。

全体の31.4%が「自社がセキュリティ被害に遭った」と回答…意外と多い内部犯行

 まず自社で過去に何らかのセキュリティ被害に遭ったことがあるかを聞いたところ、全体の31.4%が「ある」と回答し、従業員規模が大きくなるにつれてその割合が高くなる傾向にあった。

 反対に被害に遭ったことが「ない」とした回答者は36.8%、「被害を水際で食い止めた」は11.9%で、全体の48.7%は被害を受けずに防衛できているようだ。一方、セキュリティ被害に遭ったかどうか「分からない」と答えた回答者は全体の20.0%と5社に1社の割合だった。

 次にどのようなセキュリティ被害に遭ったのか、被害経験がある回答者にその原因を聞いたところ「外部からのサイバー攻撃」が72.4%、「内部の人為的なミスによる被害」が44.8%、「内部犯行による被害」が6.9%と続いた(図2)。従業員の人為的なミスや犯行による被害があったとした割合は、2018年に実施した同様の調査と比較しても減少していなかった。近年ではWebテストや社内研修などセキュリティ意識向上のための取り組みに着手する企業も増えてきているが、まだ従業員へのリテラシー教育が必要だと言えそうだ。

図1 セキュリティ被害の経験(2019年)

図2:セキュリティ被害の原因(2019年)

約7割が「自社を狙った攻撃か判断が付かない」

 次に「セキュリティ被害に遭ったことがある」と回答した方を対象に、不特定多数を狙ったサイバー攻撃ではなく自社(情報資産を含む)を狙ったサイバー攻撃(標的型攻撃)を受けたことがあるかどうかを聞いた。「攻撃を受けたことはあるが、自社を狙ったかどうかは分からない」(44.8%)、「分からない」(24.1%)、「自社を狙った攻撃を受けたことはない」(17.2%)、「自社を狙った攻撃を受けた」13.8%と続いた(図3)。

 サイバー攻撃可視化ツールやセキュリティ監視サービスを活用するなどしてサイバー攻撃に対応できていた企業は3割に止まり、外部からのサイバー攻撃を受けたことのある企業の約7割(68.9%)が、攻撃が不特定多数を狙ったサイバー攻撃であったのか、自社を狙ったサイバー攻撃であったのかの判断できていない。この傾向は2018年に行った前回調査から大きな変化は見られていない。このことからも未対策の企業はまず自社への脅威を把握するための環境構築を急ぐべきだろう。

図3 自社を狙ったサイバー攻撃を受けたことがあるか

システムダウンに生産ライン停止、メアド流出……本当にあった“サイバー攻撃”被害例

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。