「企業 IT 動向調査 2016」（情報セキュリティ）の速報値を発表

プレスリリース
報道関係者各位
2016 年 3 月 24 日
一般社団法人日本情報システム・ユーザー協会
「企業 IT 動向調査 2016」（情報セキュリティ）の速報値を発表
―約 4 割が偽装メールによるサイバー攻撃を受けた可能性あり
―経営会議でセキュリティについて審議・報告する企業は約 3 割
一般社団法人日本情報システム・ユーザー協会（略称：JUAS）は、IT ユーザー企業の投資動向
や IT 戦略動向などを定点観測する「企業 IT 動向調査 2016」を実施しました。今後の IT 戦略立案
やセキュリティ対策強化の一助となるために、情報セキュリティに関する速報値を発表します。な
お、最終集計結果は 2016 年 4 月上旬に発表予定です。今回発表の速報値と若干のズレが生じる可能
性があることをご了承ください。調査対象は国内上場企業およびそれに準ずる企業です。調査概要
はリリース最終ページをご参照ください。
■ 約 4 割の企業が偽装メールを使ったサイバー攻撃を受けた可能性
特定の企業・団体を標的にしたサイバー攻撃の手法として「偽装メール」を使った攻撃がありま
す。取引先や社員などに成りすましたメールを送りつけ、マルウエアに感染させたりします。過去
1 年間にこの攻撃を受けた可能性を尋ねたところ、回答企業（調査対象は上場企業とそれに準ずる
企業）の 25.1％が「発生した」、14.8％が「発生した可能性があるが把握していない」と回答しま
した（図 1）。
偽装メールを使った攻撃が発生した割合は、企業規模が大きくなるほど増えます。売上高 1000
億以上 1 兆円未満では 40.8％、1 兆円以上では 56.3％が「発生した」と回答しました。「発生した
可能性があるが把握していない」まで含めると、前者では 56.3％、後者は 64.6％に達しました。
図 1●売上高別偽装メールを使った攻撃（不正侵入など）の発生状況
0%
20%
25.1
全体（n=1051）
100億円未満（n=241）
100億～1000億円未満（n=529）
1000億～1兆円未満（n=233）
40%
14.5
60%
14.8
60.0
12.4
20.2
73.0
16.3
63.5
40.8
1兆円以上（n=48）
15.5
56.3
発生した
80%
43.8
8.3
発生した可能性もあるが把握していない
-1-
35.4
発生していない
100%
企業の規模が大きくなれば、狙われやすくなることもさることながら、情報セキュリティの監視
体制が中堅・中小企業よりもしっかりしているケースが多いため「発生した」と回答する割合が増
えている可能性も考えられます。
■ 8 割弱の企業ではセキュリティ上の問題が起きたときの対策チームが定義されている
セキュリティ上の問題（インシデント）が発生したときに対応する組織を尋ねた結果を図 2 に示
します。CSIRT（Computer Security Incident Response Team）のような専任組織を設けているのは全体
の 3.8％とごく少数でした。最も多かったのが「IT 部門」で 42.8％、これに続くのが「IT 部門など複
数部門で構成する兼任組織（委員会など）を設置」の 27.3％でした。「総務部門など IT 部門とは違
う部署が担当」の 6.1％を含めると、8 割弱の企業で何らかの対応組織が定義されているようです。
この結果は、裏を返せば残りの 2 割強の企業では問題が起きたときの対策チームが明確に決まっ
ていないことも意味しています。今回の調査対象は上場企業とそれに準じる企業ということを考慮
すると、インシデントが発生したときの事後対策を産業界全体でさらに強化していく必要があると
いえるでしょう。
図 2●セキュリティ上の問題（インシデント）が発生したときの対策チームの設置状況
該当組織はない（設置を検討した
が見送られた）
0.3
IT部門とは別の専任組織を設置
該当組織はない（設置も検討
3.8
していない）
13.5
IT部門など複数部門で構成
する兼任組織（委員会など）
を設置
27.3
該当組織はない（設置を検討中）
6.2
総務部門などIT部門とは違う部署が担当
6.1
IT部門が担当
42.8
n=1090
■ 経営会議でセキュリティについて審議・報告する企業は約 3 割
顧客情報や機密情報の漏洩といった情報セキュリティのリスクは、経営上の大きなリスクになっ
ています。このリスクを低減するには、経営として全社的に取り組む必要があります。ところが、
経営幹部が積極的に関与しようとしているかというと、実態はそうではないようです。経営幹部と
情報セキュリティの関わりを調査した結果を図 3 に示します。
-2-
「経営幹部が昨今の企業を取り巻くセキュリティリスクの深刻さを重要視しており、重大なセキ
ュリティリスクや対策の重要性については、経営会議等で審議・報告される」と回答した企業は、
全体の約 3 割（33.4％）でした。半数を超える 59.5％の企業は「自社におけるセキュリティリスク
は認識しているが、対策は IT 部門など担当部門に任せている」と回答しました。
企業規模が大きくなるほど経営幹部の関わり方は深くなります。
売上高が 1000 億円以上 1 兆円未
満の企業では、約半数（49.4％）の企業において、セキュリティリスクや対策について経営会議で
報告・審議されています。売上高 1 兆円以上の企業では、この割合は 73.5％に達しました。
図 3●売上高別経営幹部のセキュリティリスクに対する関わり方
0%
20%
100億～1000億円未満
（n=524）
1000億～1兆円未満
（n=239）
1兆円以上（n=49）
60%
32.5
全体（n=1052）
100億円未満（n=240）
40%
80%
100%
60.4
21.7
7.1
65.8
26.0
12.5
66.6
49.4
7.4
48.1
73.5
2.5
26.5
0.0
経営幹部が昨今の企業を取り巻くセキュリティリスクの深刻さを重要視しており、重大なセキュリティリスクや対策の重要性については、経営会議等で審議・報告される
自社におけるセキュリティリスクは認識しているが、対策はIT部門など担当部門に任せている
自社におけるセキュリティリスクおよび対策状況について、ほとんど会話されることがない
■調査概要
「企業 IT 動向調査」は、IT ユーザー企業の IT 動向を把握することを目的に、1994 年度から実施
している調査です。経済産業省商務情報政策局の監修を受け、一般社団法人日本情報システム・ユ
ーザー協会（略称：JUAS）が行っています。
「企業 IT 動向調査 2016」の調査期間は 2015 年 9 月 30 日から 10 月 19 日。調査対象は、東証一
部上場企業とそれに準じる企業の 4000 社で、各社の IT 部門長に調査票を郵送して回答を得ました。
調査の有効回答社数は 1115 社です。なお、設問によって有効回答数が異なりますのでご注意くださ
い。
本リリースは、調査結果をいち早くユーザー企業の皆様にお役立ていただくために「速報値」と
して公開するものです。正式なデータや分析結果については、ダイジェスト版を 2016 年 4 月に、詳
細な分析結果を掲載した報告書は同年 5 月に発行する予定です。
-3-
■JUAS ライブラリーのご紹介
一般社団法人日本情報システム・ユーザー協会（略称：JUAS）は、「企業 IT 動向調査」をはじ
めとした様々な調査の報告書を紹介する「JUAS ライブラリー」を Web サイト上に開設しています。
有償販売している報告書についても、発売から 2 年以上が経過したものについては無償で公開して
います。
調査報告書には、日本における IT 活用の歴史と先達の経験が詰まっており、調査実施から年数が
経っても、今後の IT 活用の方向性を見極めるために有用であると考えました。そこで今回、発行か
ら一定期間が経った報告書を公開いたしました。幅広い分野の皆様の調査・研究に役立てていただ
ければ幸いです。詳しくは以下の Web サイトをご覧ください。
JUAS ライブラリーの URL はこちら→
http://www.juas.or.jp/servey/library/
なお、直近 2 回分の調査結果に関しては、「企業 IT 動向調査報告書 2014」および「企業 IT 動向
調査報告書 2015」として有償で販売しております。詳しくは以下の Web サイトをご覧ください。
企業 IT 動向調査報告書 2015 の URL はこちら→
http://www.juas.or.jp/servey/it15/
■本リリースに関するお問い合わせ先
一般社団法人日本情報システム・ユーザー協会担当：各務（カガミ）
〒103-0012 東京都中央区日本橋堀留町 2-4-3 ユニゾ堀留町二丁目ビル
電話：03-3249-4101
電子メール：[email protected]
-4-

Download Report