中小企業の情報セキュリティインシデントの発生状況
29.1%の企業で「疑いのある事象」を確認し、1.2%の企業で実害が発生!

設問情報処理実態調査 統計表一覧 平成28年調査関係資料から

情報セキュリティインシデントの発生状況(総従業者規模別)

貴社では、平成27年度(平成27年4 月1日から平成28年3月末日までの1年間)の間に、情報セキュリティに関する事件・事故またはそれに至る可能性がある事象(情報セキュリティインシデント)を発見・検知しましたか。
平成27年度の間に発見・検知したインシデントの影響・被害の程度について、当てはまるものをすべて選び、番号に〇をつけてください(複数回答可)。

Result

 ウィルス感染の疑いなど、情報セキュリティインシデントが35.8%の企業で発生

 従業員数300人以下の企業でも若干割合が下がるものの29.1%の情報セキュリティインシデントが発生

 「賠償や訴訟等を含む金銭的な被害につながった」と深刻な事態となった企業は全体の0.7%に対して、従業員数300人以下の企業でも1.1%と同等の割合

Consideration

 従業員数が増えれば、情報セキュリティインシデントの発生率は高くなる傾向にありますが、金銭的な被害については企業規模に関わらず一定の割合で発生しています。
したがって、中小企業においても情報セキュリティイ対策は重要な経営課題のひとつとして捉える必要があります。

情報セキュリティ被害別発生状況内訳
被害の1位は「データ破壊・損失」であり、中小企業では「内部関係者による不正アクセス」も多い

情報セキュリティ発生状況被害別内訳

補足説明

  • 「ウィルス」は、コンピュータウィルス、スパイウェア、ボットなどの不正プログラムの総称です。

  • 「標的型攻撃メール」とは、実在の企業名や官公庁名をかたって特定の組織や人にメールを送り、添付ファイルを開いたり本文中のURLをクリックしたりすると、その組織の情報を盗むウィルスに感染する仕掛けが施された電子メールのことをいいます。

  • 「外部から内部への不正アクセス」とは、コンピュータのOSやアプリケーション、ハードウェア等に存在する脆弱性(セキュリティホール)を利用して、外部から不正に接続することをいいます。

  • 「内部関係者による不正アクセス」とは、コンピュータのOSやアプリケーション、ハードウェア等に存在する脆弱性(セキュリティホール)を利用して、組織内部の関係者が、利用する権限を与えられていないコンピュータに対して、不正に接続しようとすることをいいます。

  • 「不自然な大量アクセス(サイバー攻撃等)」とは、サーバに大量のデータを送り過大な負担をかけ、サーバのパフォーマンスを極端に低下させたり、サーバを停止させたりする攻撃(Denial of Service)などをさします。

  • 「端末や外部記憶媒体等の機器の紛失・盗難」とは、ノートパソコン、モバイル端末、USBメモリ、PCカード、スマートメディア、メモリスティック等の携帯記憶媒体、印刷した紙・情報等の盗難・紛失をいいます。

  • 「自社を踏み台にした外部へのサイバー攻撃」とは、攻撃者が不正侵入等のサイバー攻撃する際に、中継地点として自社のコンピュータが利用されることをいいます。

『経済産業省 情報処理実態調査 平成28年記入要領』

Result

 被害の1位は「データ破壊・損失」(企業全体:1.32%、従業員数300人以下:0.61%)

 被害の2位は「ウィルス感染」(企業全体:1.12%、従業員数300人以下:0.49%)

 従業員数300人以下の企業の3位は「内部関係者による不正アクセス」の0.37%であり、全体0.15%の割合を上回る。

Consideration

 従業員数300人以下の企業で「内部関係者による不正アクセス」が多い理由のひとつとして、共用ファイル等へのアクセス制限が十分に設定されていなかったり、重要情報に対するルールが曖昧なことが想定されます。

 この様な場合には、不正アクセス者への罰則規定を設けるだけでなく、アクセス制限や重要情報の持ち出し・保管ルールを定めるとともに、ハンドブック等を用いた従業員の意識付けが有効です。

参考
  経済産業省 統計 情報処理実態調査 統計表一覧 平成28年調査関係資料(最終更新日:2017.5.22)
  集計結果②(3.IT関係支出の状況 4.情報セキュリティの状況)のデータを基に当社でグラフを作成
  (http://www.meti.go.jp/statistics/zyo/zyouhou/result-2/h28jyojitsu.html)

1.調査の目的
 この調査は、企業等(公共機関、事業者団体を含む。以下「企業」という)におけるIT(情報通信技術)活用の実態のほか、IT関係支出の状況、情報セキュリティに関する対策や被害の実態を的確に把握し、情報処理、情報産業振興施策の拡充のための基礎資料を得ることを目的とします。
2.調査対象の範囲
 この調査は、資本金又は出資金3,000万円以上かつ総従業者50人以上の企業及び事業団体等を対象としております。

情報セキュリティポリシーの作成・運用支援

情報セキュリティ
ニュースサービス・ソリューション

「情報セキュリティへの浸透度」などを踏えて、従業員の皆様が理解し実行がしやすい『情報セキュリティポリシー』の策定と運用のご支援や情報セキュリティの教育・研修を承ります。