実際にサイバー攻撃の被害に遭った企業はどんな被害を受けたのか、そしてどんな特徴がある企業なのか気になりませんか?
今回は、2017年に「KPMGコンサルティング」という企業によって行われた調査に基づいて、サイバー攻撃の被害にあった企業の細かいデータを紹介していきます。
参考:KPMGコンサルティング「KPMGサイバーセキュリティサーベイ2017」
https://home.kpmg.com/jp/ja/home/insights/2017/06/cyber-security-survey-2017.html
サイバー攻撃の被害に遭った企業はどれくらいいるの?
まずは、KPMGコンサルティングの調査に基づいて「どれくらいの企業がサイバー攻撃の被害に遭ったのか」というデータを紹介しましょう。
調査の対象企業の回答結果は以下の通りです。
過去1年間でサイバー攻撃の被害に遭ったことがありますか?
被害に遭った・・・27.4%
被害に遭っていない・・・61.3%
分からない・・・10.3%
無回答・・・1.1%
この調査では、過去1年の間に全体の約3割の企業がサイバー攻撃の被害に遭っているという結果が出ています。
ただこの「サイバー攻撃の被害」は、企業への実害があったかどうかは問いません。
従ってサイバー被害の企業にあった3割の企業すべてが、個人情報の漏洩などの実害を被っているという訳ではありません。
どの種類のサイバー攻撃の被害が多いのか?
続いて、サイバー攻撃の被害で実害が生じたという企業が「どんな種類のサイバー攻撃を受けたのか」という調査の結果を見てみましょう。
どのような種類のサイバー攻撃の被害に遭いましたか?
ランサムウェア・・・22.3%
その他のマルウェア・・・16.8%
標的型攻撃・・・7.9%
DDoS攻撃・・・6.6%
不正送金等に誘導するビジネスメール詐欺・・・6.1%
サービスへの不正ログイン、情報の窃取・・・4.2%
フィッシング詐欺・・・2.8%
サイト改ざん・・・2.4%
ソーシャル・エンジニアリング・・・1.1%
loT機器への攻撃・・・0.2%
その他・・・0.9%
やはりランサムウェアやマルウェア、標的型攻撃と企業へのサイバー攻撃の代表格と言える手法が多いという結果が出ています。
企業はサイバー攻撃被害への対策として「CSIRT」を設置しているのか?
「CSIRT(シーサート)」とはComputer Security Incident Response Teamの略で、簡単に言うと「セキュリティに対する監視・管理・分析を行う組織」のことです。
セキュリティに関するプロ集団であるCSIRTは、「日本シーサート協議会」によって各企業に設置することが強く推奨されています。
では実際にCSIRTを設置している企業はどれくらいあるのでしょうか?
調査結果は以下の通りです。
自社でCSIRTの設置をしていますか?
設置している・・・18.4%
今後設置する予定・・・9.6%
今後設置について検討したい・・・29.8%
設置予定はない・・・40.7%
無回答・・・1.5%
強く設置が推奨されているCRIRTですが、上記のように実際に設置している企業は全体の2割程度に留まっています。
また「設置予定はない」と回答した企業の中に、売上高5,000億円を超える規模の大きな企業が12.7%も含まれているのです。
つまり企業の規模は関係なく、全体的にCRIRTの設置には消極的だということが分かります。
企業はサイバー攻撃の被害を受けた際の対策をしているのか?
企業がサイバー攻撃の被害に遭うと、個人情報の漏洩などが発生する場合があります。
もしそうなると、企業は法的な責任を取ることになってしまう可能性もあります。
企業はそういった法的な責任を取らないといけないことに対して、リスク回避が出来る対策を取っているのでしょうか?
調査結果を見てみましょう。
サイバー攻撃の被害に遭った際、法的リスクを回避出来る対策が出来ていますか?
出来ている・・・23%
出来ていない・・・77%
法的リスクへの対策に関しては、回答した企業の8割近くが実施出来ていないことが分かっています。
「出来ていない」のパーセンテージの中には、「全く出来ていない」、「あまり出来ていない」、「出来ているとも出来ていないとも言えない」が含まれています。
従って8割が全く対策をしていないという訳ではありませんが、法的責任を負うリスクに対して重要視していない企業が多いことは確かでしょう。
またサイバー攻撃の被害にあった際の対策として、「ネット接続の遮断」という方法があります。
ネット接続遮断の手順を確認したり、遮断しても事業を継続したり出来るような対策が出来ている企業はどれくらいあるのでしょうか?
サイバー攻撃の被害に遭った際、ネット接続の遮断に関する対策は出来ていますか?
出来ている・・・30%
出来ていない・・・70%
ネット接続の遮断に関しても、7割の企業で対策や準備をしていないという結果になりました。
こちらも先ほどのアンケート同様、「出来ていない」には「全く出来ていない」、「あまり出来ていない」、「出来ているとも出来ていないとも言えない」が含まれています。
それにしても、思いのほかサイバー攻撃への対策が万全ではない企業が多い印象です。
企業はサイバー攻撃被害の対策にどれくらい投資しているのか?
サイバー攻撃被害への対策には、どれくらいの投資額が必要なのでしょうか?
過去1年間、企業がどれくらいの投資額を費やしているのか確認してみましょう。
サイバー攻撃被害への対策に費やす1年間の投資額はどれくらいですか?
1,000万円未満・・・47.0%
1,000万円以上、3,000万円未満・・・20.8%
3,000万円以上、5,000万円未満・・・5.0%
5,000万円以上、1億円未満・・・7.0%
1億円以上、3億円未満・・・3.7%
3億円以上、5億円未満・・・1.1%
5億円以上、10億円未満・・・1.1%
10億円以上・・・1.3%
分からない・・・10.5%
無回答・・・2.4%
調査結果を見ると、全体の約4割で1,000万円以上の投資を行っていることが分かります。
ただ「前年と比較して投資額を増加させるか」という問いに「増加させる」と答えた企業は、全体の約3割に留まっています。
まとめ
サイバー攻撃へのセキュリティ強化が叫ばれている昨今ですが、企業全体に目を通すと、まだまだ万全の体制が整っていないのが現状です。
この調査結果を参考にして、各企業はセキュリティ体制の強化を底上げするために努力しましょう。
個人情報の管理、対策に関して優秀な企業だと認められる“JAPHICマーク”の取得も、底上げするための1つの方法でしょう。