「不正アクセスを受けた」企業は約1割 課題は「従業員の意識改革・リテラシー向上」
2024年8月「不正アクセスと情報セキュリティ対策に対するアンケート」調査
(株)KADOKAWAは8月14日、大規模なサイバー攻撃の影響で2025年3月期決算に36億円の特別損失を計上する見通しを発表。不正アクセス被害が、企業業績に及ぼす悪影響をあらためて浮き彫りにした。
不正アクセスは、すでに他人事ではない。東京商工リサーチのアンケート調査で、企業の約1割(9.2%)が自社システムなどへの不正アクセスを受けたことがあることがわかった。また、このうち、約6割(57.3%)で不正アクセスが複数回にのぼると回答した。
セキュリティ対策の必要性や認知度は高まっているが、サイバー犯罪は年々巧妙化し、いたちごっこの様相を呈している。業種や事業規模を問わず、不正アクセスによる情報流出の被害は、経営に致命的なダメージを与えかねない。情報化社会の浸透に伴い、情報セキュリティ対策は避けて通れない経営課題となっている。
東京商工リサーチ(TSR)は8月1~13日、企業向けアンケート調査を実施し、企業の不正アクセスや情報セキュリティ対策への取り組み状況を聞いた。
不正アクセス対策として最も多かったのは、「セキュリティ対策ソフトの導入、見直し」で約6割(58.5%)を占めた。また、セキュリティ対策に抱える課題では、「従業員の意識改革・リテラシー向上」が約4割(39.0%)で最も多かった。被害の防止には、技術的なセキュリティ対策に取り組むだけでなく、従業員一人ひとりの意識付けも欠かせないと認識しているようだ。
※本調査は、2024年8月1~13日にインターネットによるアンケート調査を実施し、有効回答5,804社を集計・分析した。
※資本金1億円以上を大企業、1億円未満(個人企業等を含む)を中小企業と定義した。
※不正アクセスとは「利用する権限を与えられていないコンピュータに対して、不正に接続しようとすること。実際にそのコンピュータに侵入したり、利用したりすること」と定義(総務省)。
Q1. 不正アクセスによる情報流出が頻発しています。2020年以降で、貴社では不正アクセスを受けましたか?(択一回答)
◇約1割が1回以上「不正アクセスを受けた」
5,735社から回答を得た。不正アクセスを1回以上受けた企業は528社(構成比9.2%)で約1割を占めた。このうち、2回以上受けた企業は303社にのぼり、半数を超えた。
規模別では、1回以上受けた企業の比率は中小企業が8.7%に対し、大企業は13.8%で大企業が5.1ポイント高かった。
大企業ほど大規模なシステムや大量データを保持しており、不正アクセスの脅威に晒されやすいとみられる。
Q2.貴社では、不正アクセスに対してどのように対策していますか?(複数回答)
◇「研修の実施」大企業と中小企業で大きな差
5,804社から回答を得た。最多は「セキュリティ対策ソフトを導入、見直した」の3,399社(構成比58.5%)で、約6割を占めた。
以下、「研修の実施」1,523社(同26.2%)、「アクセス制限・管理の設定強化」1,361社(同23.4%)、「脆弱性の点検」1,313社(同22.6%)と続く。
大企業と中小企業との比較では、「研修の実施」は大企業62.1%に対し、中小企業22.0%と40.1ポイントの大差があった。
大企業は、研修に割く資金や人的リソースがあり、時間的な余裕が背景にあるとみられる。また、従業員も多いため、研修による効率的な周知徹底と効果の高さを重視しているようだ。
「その他」には「専門業者への外部委託」、「サイバー保険に加入」等があった。
Q3.不正アクセス対策について、貴社ではどのような課題を抱えていますか?(複数回答)
◇課題は従業員の「意識改革」が最多
5,579社から回答を得た。最多は「従業員の意識改革・リテラシー向上」の2,177社(構成比39.0%)で、約4割を占めた。
以下、「専門知識のある人材の確保」1,930社(同34.5%)、「対策費用の捻出」1,621社(同29.0%)と続く。
大企業と中小企業では、「従業員の意識改革・リテラシー向上」が大企業60.8%に対し、中小企業36.4%と24.4ポイントの差がついた。
大企業は従業員が多く、異動などで人の入れ替わりもある。社歴や携わる職種も多岐にわたり、情報セキュリティに対する従業員の意識付けに苦心している様子がうかがえる。
「その他」には「業務効率とセキュリティ対策とのバランス」等があり、例として、PCの社外持出しは業務上は避けられないが、セキュリティ面では好ましくないといった意見があった。
アンケート結果では、企業は情報セキュリティ対策としてソフトウェア導入やアクセス制限、脆弱性の点検などのハード面の強化に取り組む一方で、情報セキュリティに対する従業員意識の徹底、そのための研修実施などソフト面にも注力している。「技術強化」と「意識向上」はセキュリティ対策の両輪と言えるが、大企業と中小企業では経営体力の開きが大きく、結果として対策の内容にも規模による違いが垣間見える。
不正アクセスによる個人情報などの流出事故が後を絶たない。大手企業でもランサムウェアの侵入などで、情報流出の被害が相次いでいる。ひとたび情報が流出すると、拡散を食い止めるのは至難の業で、流出した情報は犯罪に利用される可能性もある。また、ネットワークの拡大に伴い、善意の企業や一般個人も巻き込む可能性も高まっている。それだけに情報セキュリティへの責任は一段と重く、厳格な情報管理とともに被害に遭わない自衛的な取り組みが求められる。