トレンドマイクロは2014年9月1日、同社が実施した「セキュリティ教育・組織体制に関する実態調査」の結果を公表した。従業員が1000人以上の企業・組織においては、回答者の12.8%が、インシデント対応を実施する内部組織「CSIRT(シーサート)」やログ監視などで攻撃を早期発見する「SOC(ソック)」を設立済みと答えた。

 トレンドマイクロでは、企業や官公庁などを対象に、セキュリティ教育やセキュリティ体制に関するアンケート調査を実施した。調査対象は、企業や官公庁などで情報セキュリティに関与する1234人。実施時期は、2014年6月26日~30日。ネットを通じて回答してもらった。

 CSIRT/SOCの設立状況を尋ねた設問では、「設立済み」との回答は全体の5.6%だった(図1)。ただ、企業・組織の規模によってばらつきがあり、従業員数が多い企業・組織ほど、「設立済み」と答えた割合は多かった。例えば、1000人以上の企業・組織では12.8%、5000人以上の企業・組織では18.9%が設立済みと回答。一方、50人以上100人未満の企業・組織では1.5%にとどまった。

図1●従業員数別のCSIRT/SOCの設立状況(トレンドマイクロの情報から引用。以下同じ)
図1●従業員数別のCSIRT/SOCの設立状況(トレンドマイクロの情報から引用。以下同じ)
[画像のクリックで拡大表示]

 調査では、従業員のセキュリティ意識の向上を目的とした取り組みの実施状況についても聞いた。セキュリティに関する注意喚起は、全体の69.8%が「実施している」と回答(図2)。従業員向けのセキュリティ教育を実施しているとした回答者は全体の51.1%だった。

図2●セキュリティ意識の向上を目的とした取り組みの実施状況
図2●セキュリティ意識の向上を目的とした取り組みの実施状況
[画像のクリックで拡大表示]

 一方、「なりすましメール訓練(模擬のなりすましメールを送信して従業員の対応を調べる訓練)」といった演習を実施しているのは8.7%にすぎなかった。また、セキュリティ教育については全体の3割以上、演習についてはおよそ7割が、今後も「実施予定なし」と回答した。

[トレンドマイクロの情報]