日経コミュニケーションは2016年7月から8月にかけ、毎年恒例となっている「企業ネット/ICT利活用実態調査」を実施した(調査概要は記事末)。その結果、企業におけるセキュリティ対策状況の進展が顕著に表れた。
標的型攻撃をはじめとした脅威の拡大を受け、企業のセキュリティ対策意識は大きく変わりつつある。2014年にベネッセホールディングス子会社、2015年に日本年金機構、2016年にJTBで大規模な情報漏洩事故が相次いだことも後押ししている。今回の調査では対策状況の進展が顕著に表れた。
過去1年間のセキュリティ対策の投資額(月額サービスは5年分に換算して回答)は、2015年調査の平均816万円に対し、2016年調査は20.2%増の平均981万円だった(図1)。回答の分布は「100万円未満」が105件、「100万円以上、200万円未満」が78件、「200万円以上、400万円未満」が58件と、400万円未満が全体(分からない/無回答を除く)の6割を占める。ただ、1000万円以上も約2割(83件)と多く、平均を押し上げている。
回答企業の属性に照らし合わせると、投資額の平均は売上高や従業員数の規模が大きいほど高くなる傾向がみられた。例えば売上高が「100億円未満」で135万円、「100億~500億円未満」で421万円、「500億~1000億円未満」で1347万円、「1000億円以上」で3023万円といった具合である。
従業員数に基づいた平均も「100人未満」で146万円、「100~300人未満」で187万円、「300~1000人未満」で662万円、「1000人以上」で2308万円といった結果が出た。業種別に見ると、「運輸・物流業」(有効回答18件)が2153万円、「銀行・証券・保険」(同10件)が1805万円と高く、他の業種の2倍近い水準だった。
標的型攻撃を受けた企業は4割弱
過去1年間に実施した投資項目は「既存の端末セキュリティ(ウイルス対策ソフトなど)の更新」(383件)や「従業員へのセキュリティ教育の実施」(289件)、「既存のネットワークセキュリティ(ファイアウォール、IDS/IPSなど)の更新」(226件)といった定番対策が中心になる。
ところが、今後1年間で実施予定の投資項目を聞くと、「標的型攻撃を模したメールで予行演習を実施」(136件)が3位、「標的型攻撃専用の対策製品の導入」(102件)が8位に入るなど異変が起きている。
加えて、セキュリティ対策の投資理由も「標的型攻撃など新たな脅威に対応する」が276件とトップだった(図2)。2015年調査の約2.7倍の水準となる。標的型攻撃以外の投資理由には、「既存のセキュリティシステムが保守期限を迎えた」(208件)や「他社のセキュリティ事故を見て必要になった」(150件)などが挙がった。
2015年調査に比べて回答件数が多いので全体的に増加傾向にあるが、「セキュリティ関連のトラブルが発生した」(68件)が大幅に伸びている点も要注目である。