ビジネス ニュース

ビジネスに役立つ情報が満載!「コラム」「漫画で見る」コンテンツを公開中!

データで確認!情報インシデントの傾向と対策

2019年8月26日

データで確認!情報インシデントの傾向と対策

  • facebook
  • twitter
  • line

周囲の取組みを参考に

会社の大切なデータを守る施策はさまざまです。普段の仕事のなかで、従業員の方がパソコンやスマートフォンをどのように使っているかによっても、必要な対策は異なってきます。また、外部への漏えいを防ぎたいデータを、どのように保管/管理しているかによっても、打つべき施策に違いが出ます。そのため、数あるセキュリティソリューションのなかから、何を優先して導入すればよいかが見えづらくなることもあるのではないでしょうか。

そんなときに役立つのが、企業の情報セキュリティ対策に関する調査資料です。というのも、それを参照することで、日本の組織において、どのような情報セキュリティ侵害が発生していて、どのような対策が重視されているかが確認できるからです。以下では、そうした調査資料のひとつとして、総務省の「平成29年通信利用動向調査報告書(企業編)」(以下、「総務省報告」と呼ぶ)を取上げ、そのなかから、みなさまの参考になるようなデータを厳選してご紹介します。

1 参照:別ウインドウが開きます「平成29年通信利用動向調査報告書(企業編)」(総務省)

企業人の2人に1人がネット被害を経験

まずは、企業におけるネット被害の状況から、確認してみましょう。

総務省報告を見ると、2017年では、アンケート回答者(n=2587人)のおよそ半数にあたる50.3%が、ネットワーク利用において、何らかの被害(インシデント)を経験しているようです。2人に1人が被害にあっている2大脅威といえるのが、ウイルスと標的型メールです。総務省報告によれば、2017年内に「ウイルスに感染した」、あるいは「ウイルスを発見した」とする回答者の割合は、2017年43.6%に上ったといいます。また、標的型メールが会社に送りつけられたとする回答者も28.5%と、2016年から増えています。

ただし、ウイルスについては、「発見したが感染はしなかった」とする回答者の比率が31.9%と、前年の比率22.6%を大きく上回っています。その点で、企業のウイルス対策が効力を発揮しているといえるでしょう。それでもウイルスを使った攻撃は増え続けているようですので、引き続き警戒が必要です。

一方、同年標的型メールを送りつけられた企業のうち71%が、従業員の端末に標的型メールが到達していたといいます(図1)。つまり、従業員のメールの受信箱に標的型メールが届く前に、それをブロックすることができなかったということです。それによってウイルス感染の被害を受けたとする回答者は17.2%と2016年に比べ8ポイント下がっていますが、ウイルスは端末から端末へと感染を拡げていきます。そのため、たとえば社内にある100台のパソコンのうち1台が感染しても、大きな被害につながるおそれがあります。標的型メールによるウイルス感染にも細心の注意が必要といえます。

図1: 標的型メールによるインシデントの発生状況(2015-2017年推移)

標的型メールによるインシデントの発生状況(2015-2017年推移)

出典:別ウインドウが開きます総務省「平成29年通信利用動向調査報告書(企業編)」

重要施策はウイルス対策と社員教育

では、先に示したような状況のなかで、企業はどのような情報セキュリティ対策に力を注いでいるのでしょうか。総務省報告によれば、企業の97.6%が何らかの情報セキュリティ対策を講じており、そのなかの上位5つは図2に示すような対策であるといいます。

図2: 企業における情報セキュリティ対策の実施状況

企業における情報セキュリティ対策の実施状況

出典:別ウインドウが開きます総務省「平成29年通信利用動向調査報告書(企業編)」

「図2にあるとおり、講じている対策として圧倒的に多いのが、パソコンやサーバーに対するウイルス対策プログラム(ウイルス対策ソフト)の導入です。これは、先に触れたウイルス攻撃の多さを考えれば、当然のことといえるかもしれません。一方、2015年から2017年にかけて、情報セキュリティ対策として「社員教育」を展開するところが増えていることがわかります。」

この背景には、標的型メール攻撃の活発化が挙げられます。先に触れたインシデントの発生状況にあるとおり、標的型メール攻撃が会社の防御の網の目をすり抜けて、従業員の方の端末に到達してしまう確率は高いといえます。このとき、従業員の方が標的型メールのワナにかかり、メールに添付されているファイルや記載されているURLをクリックしてしまうことで、ウイルス感染の実害を被ります。それを抑制するには、従業員の方に標的型メールに対する注意を喚起し、併せて、標的型メールの典型的な手口などを知っておいてもらうことが大切です。企業の多くが、そうした社員教育に力を注いだことで、標的型メールによるウイルス感染の発生率が、前述した17.2%で食い止められているといえるでしょう。

実際、総務省報告では、標的型メール対策として何を行っているかも調査していますが、こちらの結果でも、「社員教育」とする回答者の比率が高く、その割合は2017年で51.3%に達し、2015年の28.5%から20ポイント以上も増えています(図3)。

図3: 企業が講じている主な標的型メール対策

企業が講じている主な標的型メール対策

出典:別ウインドウが開きます総務省「平成29年通信利用動向調査報告書(企業編)」

また、標的型メール対策としては、「OSへのセキュリティパッチの導入」も3年連続で回答率が上がってきています。「OSへのセキュリティパッチの導入」とは、パソコンやサーバーのOSに見つかった脆弱性(「セキュリティホール」とも呼ばれる)を修正するプログラムをOSに導入(適用)することをいいます。

OSには、ときとして脆弱性が見つかり、標的型メールをはじめとするサイバー攻撃は、その脆弱性を突いてきます。そのため、OSのメーカーやディストリビューターから提供される修正プログラムを導入することが、セキュリティ対策上、非常に重要とされています。

さらに、標的型メールによる攻撃では、メールの添付ファイルを開くことで起動された不正プログラムが、外部の攻撃用サーバー(C&Cサーバー)と交信して、攻撃用のプログラムを端末にダウンロードし、そのプログラムをC&Cサーバーから遠隔操作するといった手口がよく使われます。この攻撃を早期に見つけ出すために、社内のネットワーク機器のアクセスログを分析するという手段が使われますが、図3にある「アクセスログの記録」とは、その分析に向けた施策といえます。

一方、広く一般へのスマートフォンの普及に伴い、会社の業務でスマートフォンが使われることも増えています。そのため、スマートフォンの業務利用に関するルールをどうするかも、情報セキュリティ対策上の大きなテーマとなりつつあります。

総務省報告によれば、秘密情報の保護に関する基本方針であるセキュリティポリシーを策定している企業のうち、スマートフォンの業務利用に関する規定を設けている企業の割合は 2017年で68.1%と7割近くあり、そのなかで、「会社から支給したスマートフォンのみの利用を許可する」という企業が増加傾向にあるようです(図4)。

図4: スマートフォンの業務利用に関する規定の推移

スマートフォンの業務利用に関する規定の推移

出典:別ウインドウが開きます総務省「平成29年通信利用動向調査報告書(企業編)」

スマートフォンにも、パソコンと同じようにウイルス感染のリスクがあるほか、紛失・盗難によって重要なデータが抜き取られてしまうリスクもあります。それらのリスクを防ぐには、スマートフォンを会社として一括して導入して従業員に支給し、業務で使うアプリや機能、サイトに関して統制を効かせていくべきとの考え方が拡がりはじめているのです。

以上、今回は、現在の情報セキュリティに関するトレンドについて、データからひも解きました。セキュリティ犯罪の高度化に合わせて、システム的な対策も次々と改良されたものが発表されています。そのための情報収集はこのようなデータなどから、なるべく取得し、必要に応じてアップデートすることが重要です。加えて、最も自分たちの力で対策できるのはヒューマンエラー。「ついうっかり」や「特に考えずに」で開けたメールの添付ファイルが、甚大な被害を引き起こす可能性もあります。これを防ぐための社員教育にもぜひ目を向け、双方の対策を検討してはいかがでしょうか?

  • facebookfacebook
  • twittertwitter
  • line

お問い合わせ

メールでのお問い合わせ

お電話でのお問い合わせ

ドコモ・コーポレートインフォメーションセンター

0120-808-539

携帯電話・PHS OK

受付時間:平日午前9時~午後6時(土・日・祝日・年末年始を除く)

  • 海外からはご利用になれません。

このページのトップへ