法人組織のセキュリティ動向調査 2020年版を発表

~国内法人組織のセキュリティインシデント発生率は約8割、平均被害額は約1億4800万円~

2020年10月2日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長兼CEO:エバ・チェン、東証一部:4704 以下、トレンドマイクロ)は、日本国内の官公庁自治体および民間企業のリスク管理・ITシステム・情報セキュリティ担当者を対象に、セキュリティインシデントの発生状況や経営層のセキュリティリーダーシップの有効性、IT環境やシステムへの懸念を明らかにする調査「法人組織のセキュリティ動向調査 2020年版」を2020年6月に実施しました。本調査は、昨年まで実施していた「法人組織におけるセキュリティ実態調査」から、新型コロナウイルスの影響などによるIT利用環境やセキュリティリスクの変化を踏まえて、調査対象や設問を変更して実施した調査です。調査結果は以下の通りです※1
※1 調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値です。

法人組織のセキュリティ動向調査 2020年版はこちら

 

1.    セキュリティインシデント発生率は約8割、年間平均被害額は約1億4800万円
国内法人組織を対象とする本調査の回答者のうち78.5%が2019年4月~2020年3月の1年間に何かしらのセキュリティインシデントを経験したことが明らかになりました。セキュリティインシデントの内容は「フィッシングメールの受信」が42.8%、「ビジネスメール詐欺のメール受信」が29.1%、「不正サイトへのアクセス」が26.5%、「標的型攻撃」が22.2%、「ランサムウェア感染」が17.7%と続きました。

図1:セキュリティインシデント発生率(業種別)

図2:法人組織で発生したセキュリティインシデントの内容と発生率(n=1,086)

特に注目すべきは、国内法人組織を対象とする本調査の回答者の22.2%が自組織で標的型攻撃を経験していることです。当社のインシデント対応事例からは、標的型攻撃で見られる巧妙な内部活動を行った上でランサムウェアによるデータの暗号化を行う手口を確認しています。標的型攻撃を経験している回答者の組織においては、機微な情報が窃取されるとともに、ランサムウェアによる身代金要求の二重の被害に遭う可能性もあります。実際に本調査では対象期間の間に200名近い回答者の組織でランサムウェア感染が発生しており、多くの法人組織でランサムウェアの攻撃が発生している実態が明らかになりました。

トレンドマイクロへの国内法人からのランサムウェア被害報告件数は増加しており(2019年7~12月:17件→2020年1~6月:37件)※2、標的を絞った上で高度な攻撃を仕掛ける手口に移行し、継続していることが考えられます。法人組織ではランサムウェアを単体の脅威ではなく、一連のサイバー攻撃の一つのポイントとして捉え、侵入から情報窃取、最終的なランサムウェアによるデータ暗号化まで、攻撃フローのどこかで脅威を検知する対策が必要です。また、検知した後に攻撃の全容を把握して迅速にインシデントに対応するためにもEDR(Endpoint Detection and Response)やXDR(Cross Detection and Response)のような事後対処を実現する対策も有効です。
※2 トレンドマイクロ「2020年 上半期セキュリティラウンドアップ」

また、国内法人組織を対象とする本調査の43.8%が自組織においてセキュリティインシデントに起因した被害を経験したことが明らかになりました。システムやサービスの停止による損失額、インシデント対応にかかった費用から原因究明のための調査費用、改善策の導入、損害賠償といった事後対応を含めた年間平均被害額は約1億4800万円でした。また、セキュリティインシデント総被害額についてはセキュリティインシデントに起因した被害を経験したと回答した方のうち49.6%が1000万円未満の被害だった一方で、15.7%で1億円以上の被害が発生していました。1億円以上の被害が発生した回答者のセキュリティインシデント内容を見ると、特定のセキュリティインシデントが被害額を牽引しているのではなく、情報漏えい、データの改ざん、データの暗号化など複数のインシデントが発生することで金額が膨れ上がる傾向にありました。法人組織では様々なサービスやソフトウェアが活用されるため、サイバー攻撃の発生原因となるポイントも多岐に渡ります。法人組織は自組織で利用しているソフトウェア全体の脆弱性対策や組織のセキュリティポリシーの見直しなど、セキュリティインシデント発生前から実施できる事前の対策と万が一セキュリティインシデントが起きた際に迅速に対処して被害を最小限に抑える対策を行うことが重要です。

図3:法人組織における1年間で発生したセキュリティインシデントに起因した被害額(n=476)

 

2.    テレワークを導入または検討している組織のうち約7割がセキュリティに懸念あり
国内法人組織を対象とする本調査の80.5%がテレワーク環境を導入または今後導入を予定していることが分かりました。一方で、このうちセキュリティに対して「強い懸念がある」「やや懸念がある」と回答した割合は71.4%※3となり、多くの組織がテレワークのセキュリティに課題を感じていることが分かりました。
さらに、テレワーク環境へのセキュリティ対策の検討状況では、テレワーク環境に懸念があると答えた方のうち「既に対策を検討済」と回答した方はわずか17.3%※4と2割以下であり、72.9%※5は「今後対策を検討予定」「現在対策を検討中」と回答しています。このことから、現時点で多くの法人組織がテレワーク環境のセキュリティ対策を検討しており、中には対策を未検討あるいは検討しながら並行してテレワークを実施している組織があることが分かります。
新型コロナウイルス対策による急なテレワーク環境の導入または導入検討によって、法人組織ではテレワークのセキュリティまで十分に検討できていない可能性があります。一般的に、サイバー犯罪者は世間の流行に便乗して攻撃を仕掛けることが多く、実際にテレワーク環境の脆弱性を悪用した攻撃の被害事例も公表されています。法人組織はIT環境を新たに導入する際、導入の段階でセキュリティも考慮することが重要です。
※3 テレワーク環境を導入または今後導入を予定していると回答した調査対象874人の内71.4%(624人)
※4 テレワーク環境を導入または今後導入を予定している、かつ、テレワーク環境のセキュリティに対して「強い懸念がある」「やや懸念がある」と回答した調査対象624人の内17.3%(108人)
※5 テレワーク環境を導入または今度導入を予定している、かつ、テレワーク環境のセキュリティに対して「強い懸念がある」「やや懸念がある」と回答した調査対象624人の内72.9%(455人)

図4:法人組織で導入または導入を予定しているシステムのセキュリティの懸念

図5:セキュリティの懸念があるシステムへのセキュリティ対策検討状況

■調査概要

  • 調査名:法人組織のセキュリティ動向調査 2020年版
  • 実施時期:2020年6月
  • 回答者:自組織のインシデント状況を把握しているリスク管理・ITシステム・情報セキュリティ担当者 計1,086人 (民間企業:980人、官公庁自治体:106人)
  • 手法:インターネット調査

 

  • 本リリースは、2020年10月2日現在の情報をもとに作成されたものです。今後、内容の全部もしくは一部に変更が生じる可能性があります。
  • TREND MICROは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。