Assuredは12月24日、従業員数1000人以上の大手企業に所属する情報システム・セキュリティ部門の500人を対象に行った、自社への直接的なサイバー攻撃やセキュリティインシデント、取引先に起因したセキュリティインシデントの経験有無ならびに経済的損失の実態の調査結果を発表した。その概要は以下のとおり。
◎インシデント経験企業の経済的損失と業務停止、影響は甚大:10%が10億円超の損失。「1か月以上」もの業務停止または重大な支障が14%と影響長期化。
セキュリティインシデント経験有りと回答のあったうち、10%が10億円以上の甚大な経済的損失を被っていた。また、1000万〜5000万円未満が12.5%と、被害額を把握しているカテゴリーの中で最も高い割合を占めていた。
また、セキュリティインシデントにより、業務が停止または重大な支障が出た期間は「1週間未満」が最多である一方、「1か月以上」の長期化も14.2%に達している。
◎セキュリティインシデント経験とサプライチェーンリスクの実態:リスクの起点はITサプライチェーンが最多
自社への直接的なサイバー攻撃やセキュリティインシデントを「経験したことがある」と回答したのは全体の66.8%に達していた。最も多発しているマルウェア・ランサムウェア感染(36.8%)は、企業の事業継続にも深刻な影響を及ぼす事例も起きている。
また、取引先に起因したセキュリティインシデントは58.2%が経験していた。具体的には、取引先がマルウェア(ランサムウェア含む)による被害を受けたことにより、「自社業務の遅延・停止が発生」(28.8%)、「自社の機密情報や個人情報の漏洩が発生」(25.0%)、さらには「取引先のシステムを経由したマルウェア感染」(17.0%)といった被害が確認されている。
さらに、インシデントの起点となった取引先としては、「システム開発・運用・保守委託先」(50.2%)が最も多く、次いで「クラウドサービス事業者」(37.5%)、「データセンター事業者」(28.9%)が続いた。
◎リスクマネジメント体制と今後の対策:サイバー保険の加入状況と、インシデント後対策強化のボトルネック
サイバー保険への加入状況については、「加入している」は全体の58.6%に留まった。インシデント発生後の対策強化における最大の障壁として最も回答率が高かったのは、「対策を推進・運用する人材(リソース)の不足」で過半数(50.4%)に達している。
次いで、「対策に必要な専門知識・ノウハウの不足」(41.3%)が続き、「経営層の理解不足」(28.5%)や「予算確保の困難さ」(23.4%)も約4人に1人が回答しており、セキュリティ対策を経営課題として位置づけ、必要なリソースを確保するための経営層の意識改革が重要となっている。
関連リンク