日本情報システム・ユーザー協会(JUAS)は2017年2月9日、東証一部上場企業とそれに準ずる企業を対象に実施した「企業IT動向調査2017」の、情報セキュリティに関する速報値を発表した。回答企業の3割超が、ファイルを暗号化してパソコンなどを使用不能にするランサムウエア(身代金要求型ウイルス)や、標的型攻撃メールに代表される偽装メールによる被害に遭っていることが判明。一方で、セキュリティ被害に対処する専門組織「CSIRT」を設置する企業が全体の1割を超えた。

 セキュリティ被害の発生割合として最も多かったのが、「偽装メールなどを使った攻撃(不正侵入など)」の37.9%(図1)。前回調査に比べて12.1ポイント増加した。次いで多かったのが、「ファイルを暗号化するランサムウェアによる被害」の34.0%だった。

図1●セキュリティインシデントの発生状況
図1●セキュリティインシデントの発生状況
(出所:日本情報システム・ユーザー協会)
[画像のクリックで拡大表示]

 脅威に備えるために、CSIRTを設置する企業が増えている。企業内で情報セキュリティに対応する部門として「CSIRT部門」を挙げた企業が10.3%に上った。前回調査の4.1%から6.2ポイント増加した。最も多かった回答は「IT部門」の80.1%だったが、前回調査の83.9%からは減少した。

 情報セキュリティ対策に費やす予算も増加傾向にある(図2)。IT予算全体に占める情報セキュリティ関連費用の割合が10%以上あると答えた企業は、売上高100億円未満では71.1%で、前年比7.3ポイントの増加だった。売上高100億~1000億円未満では前年比9.4ポイント増加の63.3%、1000億~1兆円未満では10.2ポイント増加の43.9%で、売上高が大きくなるにつれ、情報セキュリティ関連費用の割合が増えている。売上高1兆円以上では5.7ポイントの増加にとどまったが、「既に多くの費用を情報セキュリティに割り当てているため」とJUASは分析する。

図2●売上高別 IT予算に占める情報セキュリティ関連費用の割合
図2●売上高別 IT予算に占める情報セキュリティ関連費用の割合
(出所:日本情報システム・ユーザー協会)
[画像のクリックで拡大表示]

 IT予算全体に占める情報セキュリティ対策費用の割合は、売上高が小さい企業ほど高い。セキュリティの脅威が増す中で、「一企業で対策するには限界に近い」(JUAS)状況になっているという。

 同調査では、4000社のIT部門長に調査票を郵送。有効回答社数は1071社だった(設問によって有効回答数は異なる)。正式なデータや分析結果は、2017年4月上旬に発表予定。

JUASの発表資料