突然のシステムダウン、システム刷新プロジェクトの失敗──。1981年の日経コンピュータ創刊号から2017年までにわたって「動かないコンピュータ」などに載せたトラブル実例は実に1098件。これらを分析して、トラブル防止につながる知見を得られないか。こう考え、セキュリティ関連、システムダウン、開発失敗というITトラブルの3大リスクを対象に様々な角度から調べてみた。すると、知られざる傾向と対策が見えてきた。

 システム停止を伴うかどうかに関わらず、最近は特定の企業を対象とした標的型攻撃に加え、偽装メールを広範な企業にばらまいて実行ファイルをクリックさせたり、不正なWebサイトに誘導したりする攻撃が相次いだ。データを暗号化して金銭を要求するランサム(身代金)ウエアなど社会的に大きな影響を及ぼす脅威も登場している。

 日本情報システム・ユーザー協会(JUAS)の「企業IT動向調査報告書2017」によれば、2016年度に偽装メールを使った攻撃やランサムウエアによる被害が「発生した」もしくは「発生した可能性がある」と答えた企業は、それぞれ全体の50.9%(n=1039)、38.8%(n=1040)に上り、増加傾向にあるという。

 働き方改革の一環として、従業員の私物のIT端末を業務へ利用すること(BYOD)を認める企業が増えてきている。しかし、BYODは他の働き方改革の事例と比べてセキュリティへの影響が大きいという課題がある。セキュリティ対策や管理が個人に依存するからだ。

 JUASの「企業IT動向調査報告書2017」によれば、ほぼ全ての従業員にBYODを認めている企業では全体平均よりもサイバー攻撃の発生割合が高いことが分かった。BYODを許可した企業では、ランサムウエアによる被害は57.4%、偽装メールによる攻撃は59.6%で発生しており、それぞれの全体平均である34.0%、37.9%と比較して大きく上回っている。

BYOD採用企業でサイバー攻撃発生リスクが高まる
BYOD採用企業でサイバー攻撃発生リスクが高まる
図●ランサムウエアや偽装メールの被害が発生した企業の割合(出所:JUASの「企業IT動向調査報告書2017」に基づき本誌作成)
[画像のクリックで拡大表示]

 内部犯行やうっかりミスによる個人情報漏洩のリスクも依然として無視できない。本誌が取り上げたセキュリティ関連のトラブル事例では、これらに起因する事例が1割程度を占めている。内部犯行では従業員が社内で知り得た顧客の個人情報を外部に転売する、うっかりミスではデータを正しい領域に保存せず外部からデータを見られてしまう、などの事例が複数あった。