「不正アクセスを受けた」企業は約1割 課題は「従業員の意識改革・リテラシー向上」
Q1. 不正アクセスによる情報流出が頻発しています。2020年以降で、貴社では不正アクセスを受けましたか?(択一回答)
◇約1割が1回以上「不正アクセスを受けた」 5,735社から回答を得た。不正アクセスを1回以上受けた企業は528社(構成比9.2%)で約1割を占めた。このうち、2回以上受けた企業は303社にのぼり、半数を超えた。 規模別では、1回以上受けた企業の比率は中小企業が8.7%に対し、大企業は13.8%で大企業が5.1ポイント高かった。 大企業ほど大規模なシステムや大量データを保持しており、不正アクセスの脅威に晒されやすいとみられる。
Q2.貴社では、不正アクセスに対してどのように対策していますか?(複数回答)
◇「研修の実施」大企業と中小企業で大きな差 5,804社から回答を得た。最多は「セキュリティ対策ソフトを導入、見直した」の3,399社(構成比58.5%)で、約6割を占めた。 以下、「研修の実施」1,523社(同26.2%)、「アクセス制限・管理の設定強化」1,361社(同23.4%)、「脆弱性の点検」1,313社(同22.6%)と続く。 大企業と中小企業との比較では、「研修の実施」は大企業62.1%に対し、中小企業22.0%と40.1ポイントの大差があった。 大企業は、研修に割く資金や人的リソースがあり、時間的な余裕が背景にあるとみられる。また、従業員も多いため、研修による効率的な周知徹底と効果の高さを重視しているようだ。 「その他」には「専門業者への外部委託」、「サイバー保険に加入」等があった。
Q3.不正アクセス対策について、貴社ではどのような課題を抱えていますか?(複数回答)
◇課題は従業員の「意識改革」が最多 5,579社から回答を得た。最多は「従業員の意識改革・リテラシー向上」の2,177社(構成比39.0%)で、約4割を占めた。 以下、「専門知識のある人材の確保」1,930社(同34.5%)、「対策費用の捻出」1,621社(同29.0%)と続く。 大企業と中小企業では、「従業員の意識改革・リテラシー向上」が大企業60.8%に対し、中小企業36.4%と24.4ポイントの差がついた。 大企業は従業員が多く、異動などで人の入れ替わりもある。社歴や携わる職種も多岐にわたり、情報セキュリティに対する従業員の意識付けに苦心している様子がうかがえる。 「その他」には「業務効率とセキュリティ対策とのバランス」等があり、例として、PCの社外持出しは業務上は避けられないが、セキュリティ面では好ましくないといった意見があった。 ◇ ◇ ◇ アンケート結果では、企業は情報セキュリティ対策としてソフトウェア導入やアクセス制限、脆弱性の点検などのハード面の強化に取り組む一方で、情報セキュリティに対する従業員意識の徹底、そのための研修実施などソフト面にも注力している。「技術強化」と「意識向上」はセキュリティ対策の両輪と言えるが、大企業と中小企業では経営体力の開きが大きく、結果として対策の内容にも規模による違いが垣間見える。 不正アクセスによる個人情報などの流出事故が後を絶たない。大手企業でもランサムウェアの侵入などで、情報流出の被害が相次いでいる。ひとたび情報が流出すると、拡散を食い止めるのは至難の業で、流出した情報は犯罪に利用される可能性もある。また、ネットワークの拡大に伴い、善意の企業や一般個人も巻き込む可能性も高まっている。それだけに情報セキュリティへの責任は一段と重く、厳格な情報管理とともに被害に遭わない自衛的な取り組みが求められる。
