Biz Clip調査レポート（第16回） 企業の情報セキュリティ対策意識調査2019

　企業における情報セキュリティ対策の整備度合い、また、脅威に対しどんな意識を持っているか。その実態について、調査を行った。調査は、日経BPコンサルティングのアンケートシステムAIDAにて、同社保有の調査モニター3635人を対象に実施した。

情報セキュリティ対策が万全だと認識する割合は半数未満

　社内の情報セキュリティ対策が「万全だと思う」と回答したのは全体でわずか4.5％。1年前の前回調査の5.1％と比較すると、0.6ポイントのダウンとなった。「まあ万全だと思う」と回答した企業は39.4％で、こちらは2018年の38.3％から1.1ポイントのアップ。トータルでセキュリティを万全と感じている企業の割合は横ばいとなった。

　一方、不備を感じる企業は、「万全だとは思わない」が15.0％。2018年調査の12.7％より2.3ポイント上昇した。企業の従業員規模で見ると、情報セキュリティ対策が万全と感じる比率が高いのは、1万人以上の大企業で8.7％。「万全だと思う」と「まあ万全だと思う」を合わせると、99人以下の企業の選択率が3割未満なのに対し、1万人以上の企業では6割を超え2倍以上の割合となる。この傾向は2018年と変わらない。総じて従業員規模の小さい企業が、情報セキュリティ対策が十分ではないと感じているが、今回の調査では3000人以上5000人未満の企業で「万全だと思う」と「まあ万全だと思う」の合計が、5割を切る結果となった。

【図1 社内の情報セキュリティ対策は万全か(従業員数別)】

「標的型攻撃による情報流出」が企業の脅威ナンバーワン

　社内の情報資産管理で最も脅威なのは、「標的型攻撃による情報流出」。全体の28.2％が選択した。それに続くのが「内部不正による情報漏えい」で、17.2％が選択。昨年の14.9％から2.3ポイントのアップとなった。昨年と比較して、最もスコアアップしたのが「災害等不測の事態に伴う情報の消失」の10.8％。昨年から3.8ポイント上昇した。2018年は大阪北部地震、西日本豪雨、北海道の地震によるブラックアウトなど、自然災害が相次いだのが影響したと見られる。

　役職別で見ると、「災害等不測の事態に伴う情報の消失」に対し、最も脅威と感じている人が多い役職は、会長・社長で17.0％、昨年からの上昇も5.7ポイントとなっている。事業継続に関連する項目として意識されているのが理由と考えられる。また、「ランサムウエアを使った詐欺・恐喝」については、昨年ほどの話題がなかったせいか、全体のスコアは5.1ポイント下げているのに、会長・社長の選択率だけが20.1％と、唯一昨年から2.5ポイントスコアをアップさせている。

　従業員規模では、トップの「標的型攻撃による情報流出」が、99人以下の企業で20.6％なのに対し、1万人以上の企業では35.0％と14.4ポイントもの差がつく。従業員規模が大きい方が、選択率が高い結果となった。一方、従業員規模が小さい企業の方が、選択率が高い項目は昨年と同じく「災害等不測の事態に伴う情報の消失」。99人以下の企業では16.4％が選択した。昨年の数字も11.2％と全階層の中で最も高い数字だったが、今年の数字はさらに5.2ポイント上昇した。1万人以上の企業での、同項目の選択率はわずか5.7％だ。

【図2-1 社内の情報資産管理で最も脅威と感じること(役職別)】

【図2-2 社内の情報資産管理で最も脅威と感じること(従業員数別)】

「ウイルス対策」は7割対応済み。バックアップは2割

　すでに導入されている情報セキュリティ対策で最も多いのは「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」で、75.7％と7割を超えた。他の対策よりも2割以上、導入比率が高い。99人以下の企業は、情報セキュリティ対策導入済みの割合が全体的に低い。「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」が72.6％と高い以外では、「ファイルデータのバックアップ」が32.9％と比較的導入比率が高く、昨年の28.3％からも4.6ポイント上昇している。他の導入比率は2割、もしくはそれ以下にとどまる。これらの傾向は昨年とほぼ変わらない。

【図3 すでに導入されている対策（MA）】

今後重視される対策は「ウイルス」「研修」「フィルタリング」

　情報セキュリティにおいて今後さらに必要・重要と思われる対策としては、「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」が最も高く、32.4％が選択。これは昨年と同様だが、2位の「社員への情報セキュリティ研修の実施」が31.3％、「社内ネットワークへの不正侵入検知・フィルタリングの実施」が31.2％と、1位から3位までが僅差で並ぶ格好となった。「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」は昨年37.7％で5.3ポイントスコアを下げており、1つだけが突出する傾向は薄れてきている。

【図4-1 今後さらに必要(重要)と思われる対策】

　役職別で特徴的なのは、会長・社長が最も必要・重要と考える項目として、「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」が55.3％と、過半数で突出している点だ。一方「社員への情報セキュリティ研修の実施」は、全体が31.3％なのに対して17.6％。どの役職にも属さない「その他」16.9％とともに、他の役職より大幅に低い選択率となった。

【図4-2 今後さらに必要(重要)と思われる対策（役職別）】

実施上の課題はコスト面も、事業規模には関係なし

　 情報セキュリティ対策を実施する上での課題のトップは「コスト面の不安がある」で、全体の29.3％が選択した。だが、一般的に経営資源に乏しいとされる小規模企業ほど高いわけではなく、事業規模との相関関係は見られなかった。一方、「社員教育が不十分で対策が徹底されていない」では、100人以上300人未満の企業が最も高く、31.4％が選択した。全体の20.2％より10ポイント以上高いスコアとなっている。

【図5 情報セキュリティ対策を実施する上で課題（従業員数別）】

　2018年に行った調査と比較すると、災害等不測の事態に伴う脅威の増加が見られたが、従業員規模とセキュリティ意識の関係性などには、大きな変化や進展は見られなかった。中小企業のセキュリティへの意識改革は依然、遅れていると言わざるを得ない。中小規模の企業を経由し、大企業を狙う種類のサイバー攻撃もちまたにあふれている。早急な対応が望まれるところだ。

＜本調査について＞
日経BPコンサルティングのアンケートシステムAIDAにて、同社モニター3635人を対象に2019年5月に調査