2019年7月30日

データで確認!情報インシデントの傾向と対策

情報セキュリティは重要と知っていても、どんな施策がいいか悩むことがありますよね。そんな悩みを解消すべく、いま気になる情報セキュリティ対策についてご紹介します。

1. 周囲の取組みを参考に

会社の大切なデータを守る施策はさまざまです。普段の仕事のなかで、従業員の方がパソコンやスマートフォンをどのように使っているかによっても、必要な対策は異なってきます。また、外部への漏えいを防ぎたいデータを、どのように保管/管理しているかによっても、打つべき施策に違いが出ます。そのため、数あるセキュリティソリューションのなかから、何を優先して導入すればよいかが見えづらくなることもあるのではないでしょうか。

そんなときに役立つのが、企業の情報セキュリティ対策に関する調査資料です。というのも、それを参照することで、日本の組織において、どのような情報セキュリティ侵害が発生していて、どのような対策が重視されているかが確認できるからです。以下では、そうした調査資料のひとつとして、総務省の「平成29年通信利用動向調査報告書(企業編)」(以下、「総務省報告」と呼ぶ)を取上げ、そのなかから、みなさまの参考になるようなデータを厳選してご紹介します。

2. 企業人の2人に1人がネット被害を経験

まずは、企業におけるネット被害の状況から、確認してみましょう。

総務省報告を見ると、2017年では、アンケート回答者(n=2587人)のおよそ半数にあたる50.3%が、ネットワーク利用において、何らかの被害(インシデント)を経験しているようです。2人に1人が被害にあっている2大脅威といえるのが、ウイルスと標的型メールです。総務省報告によれば、2017年内に「ウイルスに感染した」、あるいは「ウイルスを発見した」とする回答者の割合は、2017年43.6%に上ったといいます。また、標的型メールが会社に送りつけられたとする回答者も28.5%と、2016年から増えています。

ただし、ウイルスについては、「発見したが感染はしなかった」とする回答者の比率が31.9%と、前年の比率22.6%を大きく上回っています。その点で、企業のウイルス対策が効力を発揮しているといえるでしょう。それでもウイルスを使った攻撃は増え続けているようですので、引き続き警戒が必要です。

一方、同年標的型メールを送りつけられた企業のうち71%が、従業員の端末に標的型メールが到達していたといいます(図1)。つまり、従業員のメールの受信箱に標的型メールが届く前に、それをブロックすることができなかったということです。それによってウイルス感染の被害を受けたとする回答者は17.2%と2016年に比べ8ポイント下がっていますが、ウイルスは端末から端末へと感染を拡げていきます。そのため、たとえば社内にある100台のパソコンのうち1台が感染しても、大きな被害につながるおそれがあります。標的型メールによるウイルス感染にも細心の注意が必要といえます。

図1: 標的型メールによるインシデントの発生状況(2015-2017年推移)

3. 重要施策はウイルス対策と社員教育

では、先に示したような状況のなかで、企業はどのような情報セキュリティ対策に力を注いでいるのでしょうか。総務省報告によれば、企業の97.6%が何らかの情報セキュリティ対策を講じており、そのなかの上位5つは図2に示すような対策であるといいます。

図2: 企業における情報セキュリティ対策の実施状況

図2にあるとおり、講じている対策として圧倒的に多いのが、パソコンやサーバーに対するウイルス対策プログラム(ウイルス対策ソフト)の導入です。これは、先に触れたウイルス攻撃の多さを考えれば、当然のことといえるかもしれません。一方、2015年から2017年にかけて、情報セキュリティ対策として「社員教育」を展開するところが増えていることがわかります。

この背景には、標的型メール攻撃の活発化が挙げられます。先に触れたインシデントの発生状況にあるとおり、標的型メール攻撃が会社の防御の網の目をすり抜けて、従業員の方の端末に到達してしまう確率は高いといえます。このとき、従業員の方が標的型メールのワナにかかり、メールに添付されているファイルや記載されているURLをクリックしてしまうことで、ウイルス感染の実害を被ります。それを抑制するには、従業員の方に標的型メールに対する注意を喚起し、併せて、標的型メールの典型的な手口などを知っておいてもらうことが大切です。企業の多くが、そうした社員教育に力を注いだことで、標的型メールによるウイルス感染の発生率が、前述した17.2%で食い止められているといえるでしょう。

実際、総務省報告では、標的型メール対策として何を行っているかも調査していますが、こちらの結果でも、「社員教育」とする回答者の比率が高く、その割合は2017年で51.3%に達し、2015年の28.5%から20ポイント以上も増えています(図3)。

図3: 企業が講じている主な標的型メール対策

また、標的型メール対策としては、「OSへのセキュリティパッチの導入」も3年連続で回答率が上がってきています。「OSへのセキュリティパッチの導入」とは、パソコンやサーバーのOSに見つかった脆弱性(「セキュリティホール」とも呼ばれる)を修正するプログラムをOSに導入(適用)することをいいます。

OSには、ときとして脆弱性が見つかり、標的型メールをはじめとするサイバー攻撃は、その脆弱性を突いてきます。そのため、OSのメーカーやディストリビューターから提供される修正プログラムを導入することが、セキュリティ対策上、非常に重要とされています。

さらに、標的型メールによる攻撃では、メールの添付ファイルを開くことで起動された不正プログラムが、外部の攻撃用サーバー(C&Cサーバー)と交信して、攻撃用のプログラムを端末にダウンロードし、そのプログラムをC&Cサーバーから遠隔操作するといった手口がよく使われます。この攻撃を早期に見つけ出すために、社内のネットワーク機器のアクセスログを分析するという手段が使われますが、図3にある「アクセスログの記録」とは、その分析に向けた施策といえます。

一方、広く一般へのスマートフォンの普及に伴い、会社の業務でスマートフォンが使われることも増えています。そのため、スマートフォンの業務利用に関するルールをどうするかも、情報セキュリティ対策上の大きなテーマとなりつつあります。

総務省報告によれば、秘密情報の保護に関する基本方針であるセキュリティポリシーを策定している企業のうち、スマートフォンの業務利用に関する規定を設けている企業の割合は 2017年で68.1%と7割近くあり、そのなかで、「会社から支給したスマートフォンのみの利用を許可する」という企業が増加傾向にあるようです(図4)。

図4: スマートフォンの業務利用に関する規定の推移

スマートフォンにも、パソコンと同じようにウイルス感染のリスクがあるほか、紛失・盗難によって重要なデータが抜き取られてしまうリスクもあります。それらのリスクを防ぐには、スマートフォンを会社として一括して導入して従業員に支給し、業務で使うアプリや機能、サイトに関して統制を効かせていくべきとの考え方が拡がりはじめているのです。

以上、今回は、現在の情報セキュリティに関するトレンドについて、データからひも解きました。セキュリティ犯罪の高度化に合わせて、システム的な対策も次々と改良されたものが発表されています。そのための情報収集はこのようなデータなどから、なるべく取得し、必要に応じてアップデートすることが重要です。加えて、最も自分たちの力で対策できるのはヒューマンエラー。「ついうっかり」や「特に考えずに」で開けたメールの添付ファイルが、甚大な被害を引き起こす可能性もあります。これを防ぐための社員教育にもぜひ目を向け、双方の対策を検討してはいかがでしょうか?

関連するコラム
  • 記事を読む
攻撃されても気付けない?企業がIoTのリスクから身を守る方法

IoT機器が普及し、あらゆるものがインターネットに接続する時代となっています。しかしそれは、あらゆるものがセキュリティリスクを孕んでいるということでもあります。

  • 記事を読む
企業セキュリティを脅かす“シャドーIT”その危険性と対策を解説

企業のセキュリティを考える際に軽視できないのがシャドーITです。今回はシャドーITとその危険性、具体的な対応策について解説します。

  • 記事を読む
今こそ見直したい!業務利用のモバイル環境

テレワークが推奨される昨今、モバイルの利活用環境にも変化が生まれています。 スマートフォンの導入で、より柔軟な働き方が実現できるかもしれません。

  • 記事を読む
業務用スマホの紛失は「ごめんなさい」では済まない

今やスマホは日常生活でもビジネスシーンでも必需品となりました。逆にいえば、スマホにあらゆる情報が集約されるため、一度紛失してしまうと、何もできなくなってしまううえ、情報漏えいの恐れも高まってしまいます。スマホを紛失してしまうことで、いったいどのようなリスクが考えられるのでしょうか?

関連する導入事例
  • 記事を読む
クラウド型ビジネスツールで市議会運営を効率化

秋田市議会の運営を行う議会事務局。2018年度にタブレットを導入したが連絡業務に費やす時間に頭を悩ませていた。しかし、Gsuiteの導入により議員との意思疎通もスムーズに。他にも多様なビジネスツールが事務局職員を助けている。

  • 記事を読む
タブレットの紛失盗難対策を強化して営業効率アップ

富国生命の営業活動を支えるタブレット端末。ドコモの運用管理サービスを導入してセキュリティ対策を強化したことにより、大切なお客様情報を守りつつ、活用頻度が向上。営業効率のアップに成功した。

  • 記事を読む
スマホで変える銀行のコミュニケーション

愛媛県松山市に本拠を構える伊予銀行は約2,850台のスマートフォンを一挙に導入し、ビジネスチャットとクラウド電話帳によるコミュニケーションの効率化を推し進めている。

  • 記事を読む
通話を効率化する「オフィスリンク+」で働き方改革
サブ画像

「最もお客さまに支持される損害保険会社」をめざす、損保ジャパン日本興亜株式会社。全国に約6,000名在籍する営業社員の業務効率化を図るため「オフィスリンク+」を活用しています。

メールマガジン登録

Biz Solution by docomoでご紹介する導入事例や最新ビジネストレンドなどの記事を無料でご案内いたします。

お問い合わせやご相談はこちら

サービスについて詳しくお知りになりたい場合は、
メールまたはお電話でご依頼ください。