IT予算に占める情報セキュリティ対策費用の割合が、中堅中小企業でこの5年間減少傾向を示していることがアイ・ティ・アールの調査で明らかになった。
(左)出所:アイ・ティ・アール(2014年9月9日)
(右)出所:日本情報経済社会推進協会/アイ・ティ・アール(2014年9月9日)
(右)出所:日本情報経済社会推進協会/アイ・ティ・アール(2014年9月9日)
[画像のクリックで拡大表示]
大企業における情報セキュリティ対策費用の割合は、2009年度の8.6%から2013年度には12.2%と増加しているが、中堅企業では同14.1%から同11.9%に、中小企業では16.6%から10.1%に減少している。通常セキュリティ対策は、スケールメリットが利きやすい大企業ほど支出割合が低く、規模が小さくなるにつれて高くなる傾向にある。今回の調査ではこうした傾向が見られず、中堅中小企業の防御が手薄になっていることを示している。
セキュリティインシデントを経験した企業は、大企業のみに集中しているわけではない。「標的型のサイバー攻撃」については、経験したとする企業の割合は大企業が最も高く10.0%で、中堅企業が6.9%、中小企業が3.2%だが、「社員・職員に対するなりすましメール」を経験した企業の割合は、中堅企業が大企業を上回っている。
昨今では、防御の堅い大企業を直接狙うのではなく、取引先の中堅中小企業やグループ企業などを踏み台として、大企業への攻撃を試みる手口が横行している。アイ・ティ・アールは、「標的型攻撃に対する認識を高めるべき」と警告している。