Biz Clip調査レポート(第29回)企業の情報セキュリティ対策意識調査2021

リスクマネジメント

公開日:2021.12.27

  • PDF PDF
  • ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。

 サイバー攻撃が後を絶たない。企業における情報セキュリティ対策はどうなっているか。対策の度合い、脅威に感じるもの、対策をするうえでの課題など最新動向について2021年12月に調査を行った。調査は日経BPコンサルティングのアンケートシステムにて、同社保有の調査モニター3098人を対象に実施した。

情報セキュリティ対策が万全だと45%が認識

 社内の情報セキュリティ対策が「万全だと思う」との回答は6.2%。「まあ万全だと思う」と合わせると45.3%が自社のセキュリティ対策について信頼感を示した。「あまり万全だとは思わない」は13.4%で前回比2.1ポイント、「万全だとは思わない」は5.8%で前回比1ポイント減。3.1ポイントとわずかながらも、前回調査より対策への不安感は減少した(図1-1)。

 企業の従業員規模で見ると、従業員数と情報セキュリティ対策度合いには相関関係があるのが分かる。情報セキュリティ対策が万全と感じる比率は5000人以上の企業で高く、5000~9999人で11.9%、1万人以上で11.1%と、共に1割を超えた。「万全だと思う」と「まあ万全だと思う」を合わせると、99人以下の企業の選択率が3割を下回るのに対し、5000人以上、1万人以上の企業では共に6割超えとなる。従業員規模が小さいほど、情報セキュリティ対策は十分ではないと感じている(図1-2)。

【図1-1 社内の情報セキュリティ対策は万全か(2018~2021年比較)】

【図1-2 社内の情報セキュリティ対策は万全か(従業員数別)】

最も脅威なのは標的型攻撃。会社上層部はランサムウエアを警戒

 社内の情報資産管理で最も脅威なのは、「標的型攻撃による情報流出」で、全体の24.6%が選択した。それに続くのが「ランサムウエアを使った詐欺・恐喝」(20.5%)で、前回調査で2位だった「内部不正による情報漏えい」は、前回比7ポイントダウンの14.1%となった。2018年調査から上昇していた「災害等不測の事態に伴う情報の消失」は12.0%。前回比1.1ポイントマイナスで今回は横ばいとなった。

 役職別の結果は次の通り。「会長・社長」「役員」「部長」で最も選択されたのは「ランサムウエアを使った詐欺・恐喝」なのに対し、「課長」「係長・主任」「一般社員・職員」で最も脅威と感じられたのは、「標的型攻撃による情報流出」だった。世間をにぎわすランサムウエアのニュースが身代金の支払いをすべきか否かなど、経営判断に関わる問題に発展しがちなのが理由の1つと考えられる(図2-1)。

【図2-1 社内の情報資産管理で最も脅威と感じること(役職別)】

 従業員規模別の結果では、トップの「標的型攻撃による情報流出」が、99人以下の企業で18.7%なのに対し、1万人以上の企業では34.5%と15.8ポイントもの差がついた。標的型攻撃に関しては、従業員規模が大きい方が脅威を感じる傾向が表れている。

 一方、従業員規模が小さい企業で選択率の高い項目は、「災害等不測の事態に伴う情報の消失」となった。99人以下の企業では18.2%が選択した。この項目は従業員規模が大きくなるにつれて選択率が低くなる傾向が出た(図2-2)。

【図2-2 社内の情報資産管理で最も脅威と感じること(従業員数別)】

「ウイルス対策」は事業規模に差はなし。それ以外は小規模企業の対応遅れ

 すでに導入されている情報セキュリティ対策のうち最も多いのは「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」で77.6%。他の対策よりも圧倒的に導入が進み、かつ従業員規模別に見てもほとんど差が見られない。しかし、それ以外の項目では総じて中小企業の導入率は低く、大企業は導入率が高い結果が顕著となった。

 例えば、「社内ネットワークへの不正侵入検知・フィルタリングの実施」では99人以下の企業と1万人以上の企業では54.6ポイント差、「USBメモリー等による情報の持出し規制・社外送信メールにおけるファイル添付規制」では58.1ポイントの差がついた。「社員への情報セキュリティ研修の実施」においては58.4ポイントの差となった(図3)。

【図3 すでに導入されている対策(MA)】

今後重視する項目で「ウイルス対策」がトップ

 情報セキュリティにおいて、今後さらに必要・重要と思われる対策は、2020年の結果と比較すると上位3つにエントリーした項目は同じだが、順位は入れ替わった。今回一番多かったのは、「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」(37.1%)で、前回3位から順位を上げ、ポイントも10.9増となった。2番目が「社内ネットワークへの不正侵入検知・フィルタリングの実施」(36.8%)で8.0ポイント増。

 3番目の「社員への情報セキュリティ研修の実施」(33.4%)は前回トップから順位を下げたものの、3.4ポイントアップとなった。「ファイルデータの世代管理」だけは前回と選択率は変わらなかったが、それ以外の項目はすべて前回の数字を上回る結果となった(図4-1)。

【図4-1 今後さらに必要(重要)と思われる対策】

 役職別で特徴的なのは、会長・社長が最も必要・重要と考える項目として、「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」が54.7%と突出している点だ。一方「社員への情報セキュリティ研修の実施」は、全体が33.4%なのに対してこの層は15.6%。どの役職にも属さない「その他」17.9%と共に、他の役職より大幅に低い選択率となった(図4-2)。

【図4-2 今後さらに必要(重要)と思われる対策(役職別)】

実施のうえでの課題はコストがトップ。中小では人材不足も顕著

 情報セキュリティ対策を実施するうえでの課題のトップは「コスト面の不安がある」で、全体の32.0%が選択した。企業規模による違いが明確だったのは、「社内に対策スキルを持つ人がいない」と「社内に専任の担当(部署)がない」という人材系の項目で、299人以下の企業でこの項目が突出して選ばれた。中小企業のIT人材不足は依然、根強い状況が見て取れる(図5)。

【図5 情報セキュリティ対策を実施するうえで課題(従業員数別)】

<企業の情報セキュリティ対策意識まとめ>

・情報セキュリティ対策が「万全だと思う」「まあ万全だと思う」は45.3%

・従業員規模が大きくなるに従い、導入比率が高まる傾向

・情報資産管理で最も脅威なのは「標的型攻撃による情報流出」の24.6%

・部長以上の役職では「ランサムウエアを使った詐欺・恐喝」の選択率がトップ

・最も導入率の高い対策は「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」で77.6%

・上記ウイルス以外の対策で中小企業の導入率は低く、大企業は導入率が高い傾向

・今後重視する対策のトップは「ウイルス対策ソフトのインストール・ウイルス定義ファイルの更新」(37.1%)

・セキュリティ対策実施上の課題のトップは「コスト面の不安がある」(32.0%)

 情報セキュリティへの意識の高まりは感じられつつも、特に中小規模の企業に関してはなかなか対策強化に結びついてないのが現状といえる。対策遅れの原因にはコスト面や人材面が挙げられるが、万が一の状況に陥ったときのリスクや損害を考えれば、それらを言い訳にして先延ばしにはできない。教育の徹底はもちろんのこと、IT人材を抱える余裕はなくてもアウトソーシングを検討してみるなどの対策を講じたい。

<本調査について>
日経BPコンサルティングのアンケートシステムにて、同社モニター3098人を対象に2021年12月に調査

調査・執筆 = 日経BPコンサルティング

【M】

審査 24-S706

あわせて読みたい記事

「リスクマネジメント」人気記事ランキング

連載バックナンバー

Biz Clip調査レポート

無料!おすすめのダウンロード資料

  • 企業の情報セキュリティリスク認知調査2023

    企業の情報セキュリティリスク認知調査2023

    テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。

  • 情報セキュリティ対策意識調査2022

    情報セキュリティ対策意識調査2022

    DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。

  • その対策は効果ナシ!セキュリティの常識を検証する

    その対策は効果ナシ!セキュリティの常識を検証する

    サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が 崩れ始めています。本当に必要な対策とは何か?情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。

オンラインセミナー動画

  • 新着記事

配信期間

2024年11月28日(木)~2025年9月30日(火)

DX・業務効率化関連

【年末調整直前!】デジタル化による業務負担の軽減をめざそう

  • 新着記事

配信日時

2024年12月5日(木) 12時05分~12時50分

DX・業務効率化関連

「DX・ITツール活用の進め方」と対面コミュニケーションの両立