セキュリティインシデントの年間平均被害額 約3億2,850万円、法人のセキュリティ成熟度調査

　トレンドマイクロ株式会社は12月7日、「法人組織のセキュリティ成熟度調査」の結果を発表した。

　同調査は、日本国内の従業員規模1,000名以上の組織に所属する情報セキュリティに中心的・主体的に関わる立場の253人を対象に9月に実施した。

　調査結果によると、回答者の62.1%（157人）がセキュリティインシデントに起因する被害を経験しており、被害額の見当がつかない回答者を除いた年間平均被害額は約3億2,850万円にも上り、全回答者の25.3％（64人）に1億円以上の被害が発生していることが判明した。

　法人組織のセキュリティ成熟度を評価するため、米国国立標準研究所が発行する「サイバーセキュリティフレームワーク（Cyber Security Framework、CSF）が示す識別・防御・検知・対応・復旧の5つの機能毎に、自組織のセキュリティ成熟度を5段階で評価する質問をしたところ、相対的に「対応」が最も高く「復旧」が最も低い結果となった。

　今後強化する予定のセキュリティ管理策を尋ねたところ、「復旧」に関するセキュリティ管理策を強化したいと回答したのは45.8%（116人）と半数以下で、最も高かった「防御」に関するセキュリティ管理策を強化したいと回答した64.8%（164人）と比べ19.0ポイントもの差が生まれている。

　自組織のセキュリティ対策の見直しの際に参考とするガイドラインとして、52.6%（133人）の回答者がISMS(ISO/IEC 27001、27002)を選択しており、国内でも多くの組織が参考にしていることが明らかになった。また、回答者の40.3％（102人）がNIST Cyber Security Framework(CSF)を、32.4%（82人）がNIST SP 800-171を選択していた。