報道関係者各位 2016年3⽉17⽇ ⼀般財団法⼈⽇本情報経済社会推進協会(JIPDEC) 株式会社アイ・ティ・アール サイバー攻撃の認知率とリスク重視度が上昇 マイナンバー制度対応は前進するも、多くの企業は道半ば ― JIPDECとITRが「企業IT利活⽤動向調査2016」の速報結果を発表 ― ⼀般財団法⼈⽇本情報経済社会推進協会(JIPDEC、会⻑ 牧野 ⼒)と株式会社アイ・ティ・アール(ITR、 代表取締役 内⼭悟志)は本⽇、国内企業672社のIT/情報セキュリティ責任者を対象に共同で実施した「企業 IT利活⽤動向調査2016」の⼀部結果を速報として発表いたします。 本調査では、情報セキュリティにまつわるインシデントの認知状況や情報セキュリティ対策の取り組み状況、新たにス タートした社会保障・税番号制度(マイナンバー制度)への対応状況などについて調査・分析しています。 ■増加するサイバー攻撃インシデント まず、今回の調査で注⽬されるのは、サイバー攻撃に関わる情報セキュリティ・インシデント認知の増加です。本調 査で定点観測している「過去 1 年間に経験した情報セキュリティ・インシデントの種類」の回答結果を⾒ると、特定組 織に狙いを定めて重要情報の窃取などを図る「標的型のサイバー攻撃」を認知した企業の割合は、前年調査から 1.8 ポイント上昇して 9.5%となりました。また、サイバー攻撃のきっかけともなる「外部からのなりすましメールの受信」 は、前年調査から 3 ポイント近くも増加して 8.3%となりました。(図 1)。 図 1.過去 1 年間に経験した外部攻撃に関わるセキュリティ・インシデントの経年⽐較 0% 1% 2% 3% 4% 5% 6% 7% 8% 9% 10% 6.7% 標的型のサイバー攻撃 7.7% 9.5% 5.0% 公開サーバ等に対するDDoS攻撃 4.9% 6.1% 7.0% Webサイトへの不正アクセス 7.0% 7.1% 2014年調査 2.4% Webサイトの不正改ざん 3.6% 2015年調査 3.1% 2016年調査 5.6% 外部からのなりすましメールの受信 5.4% 8.3% 出典:JIPDEC/ITR「企業IT利活⽤動向調査2016」 これに伴い、標的型サイバー攻撃のリスクを経営上重視する企業も増加傾向にあります。標的型サイバー攻撃に ついて「最優先で対応が求められている」とした企業は23.7%に上り、直近3回の調査で最多となりました。「セキュリ ティ課題の中でも優先度が⾼い状況である」(31.1%)と合わせれば、半数を超える約55%の企業が優先度の⾼ い課題であるとしています(図2)。 図 2.「標的型のサイバー攻撃」のリスクに対する重視度合い(経年⽐較) 0% 25% 2014年調査 18.9% 2015年調査 75% 31.4% 21.9% 2016年調査 50% 27.4% 27.9% 23.7% 100 % 14.3% 30.4% 31.1% 7.9% 12.5% 27.1% 11.3% 7.3% 6.8% 極めて重視しており、経営陣からも最優先で対応するよう求められている 重視しており、セキュリティ課題の中でも優先度が高い状況である 他のセキュリティ課題と同程度に重視している さほど重視していない リスクの度合いがわからない 出典:JIPDEC/ITR「企業IT利活⽤動向調査2016」 ■マイナンバー制度対応は1年前から進展を⾒せるも、「完了」は3割台 2016年1⽉から、社会保障、税、災害対策のための本格利⽤が開始された「社会保障・税番号制度(マイナン バー制度)」に関する情報システムの対応状況についても、前年に続いて調査を実施しました。今回の調査では、マ イナンバー制度対応を経営課題として重視する企業の割合が前年調査(9.2%)から上昇して17.1%となり、そ れに呼応して、情報システムの対応が「完了している」とした企業は前年調査から10ポイント以上、「作業が進⾏中」 とした企業も約15ポイント増加しました。しかし、完了の割合は30%強にとどまり、いまだ多くの企業が対応に追われ ている最中であるとの実態も浮き彫りとなりました(図3)。 図 3.マイナンバー制度に対する情報システムの対応状況(経年⽐較) 0% 2015年調査 25% 18.2% 18.5% 50% 19.3% 75% 17.6% 100 % 8.7% 17.6% 4.8% 2016年調査 31.8% 32.0% 13.2% 7.6% 完了している 対応のための作業が進行中である 対応のための準備・検討段階である 対応予定だが未着手である 対応の必要はないと考えている わからない 出典:JIPDEC/ITR「企業IT利活⽤動向調査2016」 10.6% なお、「未完了」(作業が進⾏中、準備・検討中、対応予定だが未着⼿)と回答した企業に、完了していない 主たる理由を問うたところ、その進捗状況によって、遅れの理由が異なっていることも確認できました。まず、「進⾏中」 とした企業では、「社内のIT⼈材リソースの不⾜」が課題となっており、「準備・検討中」とした企業では、「システム化 予算の不⾜」が最も多い理由として挙げられています。また、「対応予定だが未着⼿」とした企業では、「社内担当部 ⾨との調整不⾜」が最多となりました(図4)。企業において、マイナンバー対応が⼀定の負担となっている現実がう かがえます。 図 4.マイナンバー制度に対する情報システムの対応が完了していない主な理由(進捗状況別) 0% 25% 進行中(N=215) 対応予定だが未着手(N=51) 21.3% 11.8% 3.9% 15.7% 17.6% 100 % 0.9% 4.7% 7.0% 6.0% 13.5% 7.9% 15.7% 25.8% 12.4% 15.7% 75% 15.8% 12.1% 32.1% 準備・検討中(N=89) 50% 12.4% 15.7% 9.0% 3.4% 13.7% 5.9% 社内のIT人材リソースの不足 外部リソース(SIベンダー)の不足 システム化予算の不足 経営者の理解不足 社内担当部門との調整不足 IT施策上の優先度の低さ そもそも期限を設定していない その他 わからない 出典:JIPDEC/ITR「企業IT利活⽤動向調査2016」 ■2016年度に向けてコンプライアンス関連⽀出に伸び 今回の調査では、2015 年 9 ⽉に成⽴した改正個⼈情報保護法に関して、その対応状況などに関する調査も⾏ いましたが、企業の回答状況は前年調査から⼤きな変化が⾒られませんでした。少なくとも国内企業の情報システム 部⾨においては、法改正に伴う具体的な施策が本格化していないことが⾒てとれました。ただし、来る 2016 年度 (2016 年 4 ⽉〜2017 年 3 ⽉)に向けたセキュリティ関連⽀出の増減⾒込みを問うたところ、過去 2 回の調査と ⽐べて、コンプライアンス関連⽀出に明らかな伸びが確認されました。 次年度に向けた⽀出の⾒込みを「増加(3 点)」「横ばい(2 点)」「減少(1 点)」「計画していない(0 点)」 と重み付けして有効回答で除した「セキュリティ⽀出増減指数」を算出し、過去の回答結果と⽐較したところ、2016 年調査では「個⼈情報保護法対策費⽤」「個⼈情報保護法以外のプライバシー保護対策の費⽤」「内部統制/ J-SOX 対応費⽤」の 3 項⽬の指数が、過去 2 回の調査を⼤きく上回る結果となりました(図 5)。 改正個⼈情報保護法の影響により、プライバシー保護に向けた対策を強化しようと考える企業が少なくないことが うかがえます。 図 5.項⽬別に⾒るセキュリティ⽀出増減指数*(経年⽐較) 1.9 2014年調査 2015年調査 2016年調査 1.8 1.7 1.6 1.5 1.4 1.3 認 証 基 盤 の 構 築 ・ 強 化 の た め の 費 用 ) ) ( ム 向ビ け ス の 利 用 費 内 部 シ ス テ 診 断 ・ ア セ ス メ ン ト スサ テ ム ビ 向ス け の 利 用 費 外 部 公 開 シ 入 退 室 管 理 カ メ ラ 監 視 策な ど の 物 理 セ キ ュ リ テ ィ 対 災 害 対 策 デ ィ ザ ス タ リ カ バ リ 対 策 ) 診 断 ・ ア セ ス メ ン ト サ ( ( ( ) セ キ ュ リ テ ィ 製 品 の 利 用 ・ 購 入 費 モ バ イ ル 対 策 従 業 員 の た め の 研 修 ・ 教 育 費 用 I T ス タ ッ フ の た め の 研 修 ・ 教 育 費 用 内 部 統 制 / J ・ S O X 対 策 費 用 個 人 情 報 保 護 法 対 策 費 用 個 人 情 報 保 護 法 以 外 の プ 用ラ イ バ シ ー ( ) セ キ ュ リ テ ィ 製 品 の 利 用 ・ 購 入 費 内 部 犯 行 対 策 、 ( セ キ ュ リ テ ィ 製 品 の 利 用 ・ 購 入 費 外 部 攻 撃 対 策 ー セ キ ュ リ テ ィ ・ ス タ ッ フ の 人 件 費 ー セ キ ュ リ テ ィ 関 連 の 認 証 取 得 に 関 す る 費 用 保 護 対 策 の 費 ) 出典:JIPDEC/ITR「企業 IT 利活⽤動向調査 2016」 *次年度に向けた⽀出の⾒込みを「増加(3 点)」「横ばい(2 点)」「減少(1 点)」「計画していない(0 点)」と重 み付けして有効回答で除した値 -------------------------------------------------------------------------------調査結果を受けて、ITR のシニア・アナリスト舘野真⼈は、「今回の調査結果では、外部からのサイバー攻撃のイン シデントが拡⼤しており、国内企業にとって無視することのできない脅威となっていることが⽰されました。特に、差出⼈を 偽るなりすましメールの認知件数はこの 1 年で急速に増加しており、電⼦メール環境の⾒直しは急務となっています。ま た、経営課題として重視する企業が増加したマイナンバー制度対応については、進展が⾒られた反⾯、⼈員、資⾦など の⾯で企業に少なからぬ負担を強いている実態も浮き彫りとなりました。そのため、全社的な情報セキュリティ強化という 当初の⽬標に背を向け、マイナンバーの運⽤に特化したポイント・ソリューションの導⼊や外部委託の採⽤に踏み切る 企業も増加しています。改正された個⼈情報保護法への対応とも合わせて、企業においては、社内の重要データを包 括的に保護するためのプロセス、システムの整備に注⼒することが望まれます」と述べています。 ■本調査について 本調査は、JIPDECからの依頼に基づき、JIPDECとITRが2016年1⽉22⽇から27⽇にかけて実施したものです。 調査は、ITRの独⾃パネルに対するWebアンケート形式で実施し、従業員数50名以上の国内企業に勤務しIT戦 略策定または情報セキュリティ施策に関わる係⻑職相当職以上の役職者約2,000名に対して回答を呼びかけ、 672名の有効回答を得ました(1社1名)。 今回発表した動向だけでなく、情報セキュリティ対策の具体的な取り 組み状況、製品/サービスの導⼊状況、個⼈情報保護法改正への対応など、広範にわたる調査を実施しています。 調査結果の詳細は、JIPDECが2016年5⽉に発⾏予定の『JIPDEC IT-Report 2016 Spring』に掲載し、 Web公開する予定です。 ■JIPDECについて JIPDECは、1967年よりわが国の情報化推進の⼀翼を担い、技術的・制度的課題の解決に向けたさまざまな活 動を展開しています。特に、個⼈情報保護、情報セキュリティに係る国内外の動向や、情報の利活⽤基盤整備のた めの調査研究等を⾏っています。 また、安⼼安全な情報利活⽤環境の構築を図るため、プライバシーマーク制度、ISMS制度運⽤、「JCAN証明 書」、「サイバー法⼈台帳ROBINS」等のサービス提供、マイナンバー対応のための研修等を⾏っています。 URL: http://www.jipdec.or.jp/ ■ITRについて ITRは、ビジネスとITに関する問題解決を提供する独⽴系のITコンサルティング・調査会社です。企業のIT戦略に 関するコンサルティングを提供するほか、IT関連のベンチマーク、ROIと効果の最適化、戦略的なデータ活⽤、ベンダ ー/製品の評価と選択、事業戦略とマーケティングの⽀援、ITの将来動向などの分野に関する調査・分析を⾏って います。2000年からは毎年、国内企業の情報システム責任者に対する『IT投資動向調査』を実施しています。ITR は1994年に設⽴、東京に本社を置いています。 URL: https://www.itr.co.jp/ -------------------------------------------------------------------------------■本件についてのお問い合わせ先 ⼀般財団法⼈⽇本情報経済社会推進協会(JIPDEC) 広報室 塚本 TEL:03-5860-7555/FAX:03-5573-0561 e-mail: [email protected] 株式会社アイ・ティ・アール メディア・リレーションズ 霜中 TEL:03-5304-1301(代)/FAX:03-5304-1320 e-mail: [email protected]
© Copyright 2024 ExpyDoc
