第2回「企業のサイバーセキュリティ対策に関する実態調査」について
2020年3月25日
MS&ADインターリスク総研株式会社
MS&ADインシュアランス グループのMS&ADインターリスク総研(社長:中村 光身)は、サイバーセキュリティ対策への取り組みや被害の状況や課題等、企業のサイバーセキュリティに関する現状および傾向を捉え、今後のサイバーセキュリティリスク低減に資することを目的に、昨年度に続き「企業のサイバーセキュリティ対策に関する実態調査」を実施しました。
今回の調査結果もふまえて、MS&ADインシュアランス グループは今後も多様化するお客さまニーズに応える商品・サービスの開発を積極的に進めていきます。
1. 実態調査
(1)実施概要
調査方法 | 質問紙郵送法(Web回答併用) |
---|---|
調査対象企業 | 10,000社 東洋経済新報社が発行する「日本の会社データ4万社((1)基本データ)」から業種別に無作為抽出した企業 |
有効回答数 | 634件(総回収数:644件) |
回収率 | 6.3.% |
調査期間 | 2019年11月中旬~末日 |
(2)結果概要・考察
① 組織体制を整備することがサイバーセキュリティ対策の第一歩
昨年度同様、サイバーセキュリティに関する体制(以下、組織体制)を整備している企業では、サイバーセキュリティ対策においても、保険の導入率等においても、優位な結果が出ています。組織体制を整備することで、対策等が進む理由の一つに、立ち上げた組織が企業外の団体・組織(日本シーサート協議会、JNSA、IPAなど)に所属等し、外部情報を取り込むことで、当該企業として実施すべき対策などが明確になっていくことが考えられます。さらに、昨年度同様、組織体制整備にプラスして、文書・規程類についても、ポリシー(方針・行動指針書)⇒スタンダード(基準・標準)⇒プロシージャ(手順書)と対応がより実務的なものに発展していくこともセキュリティ対策の実態としてはポイントとなっています。
<図1>組織体制の整備状況(n=626)
<図2>組織体制ごとの文書・規程類整備状況
② クラウドサービスを含めた推奨システム構成のモデル化策定等の必要性(新規)
従業員規模の大きい企業では、クラウドサービス事業者を選定する際に何らかのセキュリティ評価をしている企業が多かった一方で、従業員規模が50名以下と小さい企業ではセキュリティ評価をしていないままクラウドサービスを利用している割合が高いということがわかりました。今後クラウドサービスの利用がさらに広がっていくなかで対策の一つとして、政策・実証等に基づいた「企業が安心して利用できるクラウドサービスを含めた推奨システム構成のモデル化策定」などが挙げられます。
<図3>クラウド評価状況(従業員規模別)
③ セキュリティ・インシデント(事故)発生時に向けた対応の重要性への認識
サイバーセキュリティに関する事故にあったことのある企業でも半数程度が訓練を実施していないことが判明しました。
また組織体制ごとにみた場合、組織体制がある企業では「訓練を実施している」と回答した企業が多く(23.2%)、「IT部門のみ実施している」・「一部実施している」まで含めると半数程度を占めています。一方で組織体制のない企業では「訓練を実施していない」と回答した企業が7割超を占めています。組織体制が構築されている企業では、サイバーセキュリティを守りながらアラート検知をすることが可能で、事故調査を行うことで事故の発見・対応へとつなげていくことができます。また軽微な事故を含め、状況を判断しながら影響範囲の少ない時点で事故を処理することができていると考えられます。一方で組織体制がない企業や従業員規模の小さい企業においては、影響範囲が小さい時点でサイバーセキュリティに関する事故の可能性のある事象を処理できる機能をアウトソースしていく必要があります。
<図4>セキュリティ・インシデント(事故)発生時の訓練実施状況(事故有無ごと)
<図5>セキュリティ・インシデント(事故)発生時の訓練実施状況(組織体制ごと)
(3)実態調査報告書
調査報告実績ページ(こちら)よりダウンロード可能です。
2. 今後の取組みについて
MS&ADインシュアランス グループは、企業のサイバーセキュリティ対策の実施状況を正しく理解するために今後も調査・研究を継続的に行い、グループ各社のノウハウを結集し、多様化するお客さまニーズに応える商品・サービスの提供を通じて、さらなるサイバーセキュリティリスク低減の実現に貢献してきます。
添付別紙:サイバーセキュリティ・MS&ADプラットフォームについて
以上