Biz Clip調査レポート（第9回） 企業の情報セキュリティ対策意識調査2018

　企業における情報セキュリティ対策はどの程度整備されているか。また、どんな意識を持っているか。その実態について、日経BPコンサルティングのアンケートシステムAIDAにて、同社保有の調査モニター3088人を対象に調査を実施した。

大きい企業ほど情報セキュリティ対策が万全だと認識

　社内の情報セキュリティ対策に対して、「万全だと思う」と回答したのは全体でわずか5.1％。1年前の前回調査では5.4％と、0.3ポイントのダウンとなった。「まあ万全だと思う」と回答した企業は38.3％で、こちらも2017年の41.2％から2.9ポイントのダウンとなった。1年たっても、セキュリティを万全と感じている企業は少ないままだ。

　一方、不備を感じる企業は、「万全だとは思わない」「あまり万全だとは思わない」を合わせて、2017年調査と同じく全体の2割となった。企業の従業員規模で見ると、情報セキュリティ対策が万全と感じる比率が高いのは、1万人以上の大企業で10.1％。「万全だと思う」と「まあ万全だと思う」を合わせると、99人以下の企業の選択率が3割未満なのに対し、1万人以上の企業では6割を超え2倍以上の割合となる。この傾向は2017年と変わらない。500人以上の企業は「万全だと思う」「まあ万全だと思う」との回答が過半数を占める一方で、499人以下の企業ではその回答が5割に満たない。従業員規模の小さい企業が、昨年と変わらず情報セキュリティ対策が十分ではないと感じている。

【図1 社内の情報セキュリティ対策は万全か(従業員数別)】

社内の情報資産管理の脅威は「標的型攻撃による情報流出」

　社内の情報資産管理で最も脅威と感じているのは、「標的型攻撃による情報流出」だ。全体の30.1％が選択した。前回の26.4％から3.7ポイントアップした。それに続くのが「ランサムウエアを使った詐欺・恐喝」で、16.3％が選択。昨年の10.2％から6.1ポイントのアップとなった。昨年、身代金型ウイルスであるランサムウエアの被害が話題となったことが大きく影響した形だ。前回2番目であった「内部不正による情報漏えい」は14.9％の3番目となった。

　役職別で見ると、「標的型攻撃による情報流出」に対し、最も脅威と感じている人が多い役職は、昨年と同じく係長・主任で35.5％、差がなく課長の32.7％となっている。「ランサムウエアを使った詐欺・恐喝」については、部長の選択率が23.5％と最も高く、続いて役員の22.0％となった。役員においては、「標的型攻撃による情報流出」とほぼ差がない。会長・社長が昨年最も脅威と感じた「災害等不測の事態に伴う情報の消失」は11.3％の選択率で、今回の調査では第3位。標的型攻撃、ランサムウエアの脅威が上回った。

　従業員規模で見ると、「標的型攻撃による情報流出」については、500人以上の企業と499人以下の企業で差が見られた。500人以上の企業はそれぞれ3割を超えたが、499人以下の企業ではすべて3割を切った。一方、従業員規模が小さい企業のほうが選択率が高くなったのは、昨年と同じく「災害等不測の事態に伴う情報の消失」だ。99人以下の企業が11.2％と1割が選択した。クラウド対応や、分散管理の進み具合が起因していると考えてよいだろう。

【図2-1社内の情報資産管理で最も脅威と感じること(役職別)】

【図2-2  社内の情報資産管理で最も脅威と感じること(従業員数別)】

「ウイルス対策」は対応済み。各対策とも大企業ほど導入率が高い

　すでに導入されている情報セキュリティ対策で最も多いのは「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」で、73.8％と7割を超えた。昨年67.6％から6.2ポイントのアップとなった。他の対策よりも2割以上、導入比率が高い。99人以下の企業は、総じて導入率が低い。「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」が69.7％と高い以外は、「ファイルデータのバックアップ」が28.3％となっているくらいで、他は2割、もしくはそれ以下の導入率となっている。これらの傾向は昨年からほぼ変わらない。

【図3 すでに導入されている対策（MA）】

「会長・社長」が重視するウイルス対策

　情報セキュリティにおいて今後さらに必要・重要と思われる対策としては、「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」が最も高く、37.7％が選択。次いで、「社内ネットワークへの不正侵入検知・フィルタリングの実施」の33.5％となった。導入率も高く、昨年1位であった「社員への情報セキュリティ研修の実施」よりも、脅威の上位2項目である「標的型攻撃」「ランサムウエア」への対策が優先されてきているといえる。

【図4-1 今後さらに必要(重要)と思われる対策】

　役職別で特徴的なのは、会長・社長が最も必要・重要と考えているのは、「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」で、54.9％の過半数が選択と突出している点だ。昨年の36.1％から18.8ポイントもアップしており、また全体よりも17.2ポイント高い。

【図4-2 ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新（役職別）】

役職が上の人ほど情報セキュリティの対策の課題として「コスト面」

　情報セキュリティ対策を実施する上で課題となっているもののトップは「コスト面の不安がある」で、全体の29.6％が選択している。特に役職が上になるほど、この点を課題と感じており、会長・社長、役員、部長の4割が選択している。2番目の「社員教育が不十分で対策が徹底されていない」は、全体の21.3％が選択。この課題としては、係長・主任が最も課題と考えており、28.1％と約3割が選択。差がなく課長が27.0％の選択となっている。

【図5-1 情報セキュリティ対策を実施する上での課題（役職別）】

　従業員規模別では、300～499人規模の企業において「対策の優先順位が不明確である」「統一的な情報セキュリティポリシーがなく、部署により対応にばらつきがある」といった社内の対策スキームに対する課題を持っている企業の比率が高くなっている。

【図5-2 情報セキュリティ対策を実施する上での課題（従業員数別）】

　2017年に行った調査と比較すると、ランサムウエアに対する脅威の増加といった、昨年話題になったものに対する意識の変化はあったものの、基本的な対策状況については大きな差は見られなかった。従業員規模と情報セキュリティ対策の意識、導入の実情には相関関係が見られ、大企業のほうが意識も対策も高い傾向にあるのは昨年と同様。脅威を感じてから対策を取るまでは、ある程度のタイムラグが生じるのは仕方がない。ただ中小規模の企業のセキュリティ対策の遅れは、現状、否めないところだ。

＜本調査について＞
日経BPコンサルティングのアンケートシステムAIDAにて、同社モニター3088人を対象に2018年1月に調査