第3回「企業のサイバーセキュリティ対策に関する実態調査」について
2021年3月10日
MS&ADインターリスク総研株式会社
MS&ADインシュアランス グループのMS&ADインターリスク総研(社長:中村 光身)は、サイバーセキュリティ対策への取り組みや被害の状況や課題等、企業のサイバーセキュリティに関する現状および傾向を捉え、今後のサイバーセキュリティリスク低減に資することを目的に、2018、2019年度に続き「企業のサイバーセキュリティ対策に関する実態調査(以下、本調査)」を実施しました。
企業・組織を狙うサイバー攻撃の手口や攻撃手法は高度化・巧妙化しており、深刻な影響をもたらした事例が発生しています。企業におけるサイバーセキュリティへの取り組みは、社会的な責任に応える為にも、企業の持続的な成長を下支えする為にも重要な経営課題となっています。弊社では、本調査を通じて明らかになった結果を分析し、必要なサイバーセキュリティ対策を考察しました。また本調査結果もふまえて、MS&ADインシュアランス グループは今後も多様化するお客さまニーズに応える商品・サービスの開発を積極的に進めていきます。
1. 実態調査
(1)実施概要
調査方法 | 質問紙郵送法(Web回答併用) |
---|---|
調査対象企業 | 10,000社 東洋経済新報社が発行する「日本の会社データ4万社((1)基本データ)」から業種別に無作為抽出した企業 |
有効回答数 | 557件(総回収数:644件) |
回収率 | 5.5% |
調査期間 | 2020年11月18日発送完了~12月4日 |
(2)結果概要・考察
① サイバーセキュリティ体制を整備することがサイバーセキュリティ対策の第一歩
サイバーセキュリティ体制(以下、組織体制)を整備している企業では、サイバーセキュリティ対策において、比較的優位な結果が出ています。組織体制を整備することで改善活動が始まること、立ち上げた組織が企業外の団体・組織に所属し、外部情報を取り込んだりすることで、当該企業として実施すべき対策などが明確化すると考えられます。
② 文書・規程類を着実に整備
組織体制整備にプラスして、文書・規程類についても、ポリシー(方針・行動指針書)⇒スタンダード(基準・標準)⇒プロシージャ(手順書)と対応がより実務的なものに発展していくことも、セキュリティ対策を講じるうえで重要なポイントであるといえることを確認しました。
上記をふまえ、効果的なサイバーセキュリティ対策を講じるためには、下図のような運営が必要であると考える。
<図1>サイバーセキュリティ対策~運営サイクル
③ ニューノーマルな働き方のサイバーリスクにも対応を
組織体制がない企業ほどテレワークの課題を認識していなかったり、標的型メール訓練の見直しをしていなかったりすることがわかりました。働き方改革におけるセキュリティ対策においても組織体制を整備から始めていくことが必要です。
<図2>テレワーク実施にあたっての課題有無(組織体制有無別)
<図3>テレワーク実施にあたっての課題状況(組織体制有無別)
④ 効果的な脆弱性管理は重要度を見極めて組織で対応
昨年の調査結果と比較しても、企業における脆弱性管理が進んでいないことがわかったが、真に対応が必要な脆弱性を見極め、効率的に対応することが求められる。
<図4>脆弱性に対する管理状況(前年度対比)
<図5>脆弱性に対する管理状況(組織体制有無別)
⑤ 保険は付加サービスも含めて必要性を検討する
サイバー保険への加入率は依然として高くない状況であるが、サイバー保険そのものの認知度は徐々に高まっていることが結果からわかった。さらにサイバー保険に加入していない企業では、期待する付帯サービスとして「防御~検知~事故時の初期対応を纏めたパッケージサービス」を挙げている企業が多い。サイバー保険そのものに加えて、付帯サービスも含めて必要性を検討することを推奨する。
<図6>脆弱性に対する管理状況(組織体制有無別)
<表1>サイバー保険の付帯するサービスとして期待するもの(保険加入有無別)
(3)実態調査報告書
調査報告実績ページ(こちら)よりダウンロード可能です。
2. 今後の取組みについて
MS&ADインシュアランス グループは、企業のサイバーセキュリティ対策の実施状況を正しく理解するために今後も調査・研究を継続的に行い、グループ各社のノウハウを結集し、多様化するお客さまニーズに応える商品・サービスの提供を通じて、さらなるサイバーセキュリティリスク低減の実現に貢献してきます。
添付別紙:サイバーセキュリティ・MS&ADプラットフォームについて
以上