世界全体のインシデント件数、被害額は年々増加している。2014年の調査ではインシデント件数が平均4948件、被害額は平均2.1億円。それぞれ前年比で32%、同34%増となった。これらは内部犯行と外部からのサイバー攻撃の両面が要因となり、増加した。また、狙う価値の高い情報資産を有する可能性が高い大企業ほど狙われやすい傾向もより浮き彫りになった。被害は中堅企業と比べ、インシデント件数で約3.1倍、被害額で約4.5倍に及ぶ。もちろん、まずはセキュリティ意識が甘い中小企業へ侵入し、時間をかけて大企業への踏み台にという流れも出ている。企業の大小は関係ない。
一方、被害の増加に対し、情報セキュリティ投資額は2013年比4%減の年間平均4.2億円となった。航空宇宙・防衛業界やテクノロジー業界、自動車業界など、知的財産や顧客情報など、金銭的価値の高い情報資産を有する業種は、一足先、2012年から2013年にかけて標的型攻撃の対策のためセキュリティ投資を大幅に増やしたことに由来すると考えられる。ただ、その後もサイバー攻撃は増えているが、それ以上の効果的な対策を見いだせていない。つまり、日々進化するサイバー攻撃に対し、一時的な支出で解決するものでないことを示している。
なお、セキュリティインシデントの最大の要因は「内部犯行」でもある。委託先の社員がスマホをつないで情報を持ち出し、大規模な情報漏えい事件につながったベネッセの例はまだ記憶に新しい。要因の35%が現行の従業員、30%が退職者、18%が委託業者だった。
「内部犯行を抑止、検知するには、けん制する仕組みにより犯行自体をとどまらせること、モニタリングにより犯行を迅速に検知し、対策をとることが必要。企業として、顧客や投資家、取引先など、外部のステークスホルダーに対して説明責任を果たせるレベルであることが“最低限のライン”である」(PwCの山本氏)
以上がグローバルでの傾向だ。では、「水準以下にある」という日本企業の現状はどうか。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授