図1.過去1年間に経験した外部攻撃に関わるセキュリティ・インシデントの経年比較

PDF リリース全文
(333KB)

2016年3月17日

サイバー攻撃認知率とリスク重視度が上昇-JIPDEC/ITRが「企業IT利活用動向調査2016」速報結果発表

2016年3月17日

一般財団法人日本情報経済社会推進協会(JIPDEC)
株式会社アイ・ティ・アール

サイバー攻撃の認知率とリスク重視度が上昇
マイナンバー制度対応は前進するも、多くの企業は道半ば
― JIPDECとITRが「企業IT利活用動向調査2016」の速報結果を発表 ―

 一般財団法人日本情報経済社会推進協会(JIPDEC、会長 牧野 力)と株式会社アイ・ティ・アール(ITR、代表取締役 内山悟志)は本日、国内企業672社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2016」の一部結果を速報として発表いたします。
 本調査では、情報セキュリティにまつわるインシデントの認知状況や情報セキュリティ対策の取り組み状況、新たにスタートした社会保障・税番号制度(マイナンバー制度)への対応状況などについて調査・分析しています。


■増加するサイバー攻撃インシデント

 まず、今回の調査で注目されるのは、サイバー攻撃に関わる情報セキュリティ・インシデント認知の増加です。本調査で定点観測している「過去1年間に経験した情報セキュリティ・インシデントの種類」の回答結果を見ると、特定組織に狙いを定めて重要情報の窃取などを図る「標的型のサイバー攻撃」を認知した企業の割合は、前年調査から1.8ポイント上昇して9.5%となりました。また、サイバー攻撃のきっかけともなる「外部からのなりすましメールの受信」は、前年調査から3ポイント近くも増加して8.3%となりました。(図1)。

 これに伴い、標的型サイバー攻撃のリスクを経営上重視する企業も増加傾向にあります。標的型サイバー攻撃について「最優先で対応が求められている」とした企業は23.7%に上り、直近3回の調査で最多となりました。「セキュリティ課題の中でも優先度が高い状況である」(31.1%)と合わせれば、半数を超える約55%の企業が優先度の高い課題であるとしています(図2)。

■マイナンバー制度対応は1年前から進展を見せるも、「完了」は3割台

 2016年1月から、社会保障、税、災害対策のための本格利用が開始された「社会保障・税番号制度(マイナンバー制度)」に関する情報システムの対応状況についても、前年に続いて調査を実施しました。今回の調査では、マイナンバー制度対応を経営課題として重視する企業の割合が前年調査(9.2%)から上昇して17.1%となり、それに呼応して、情報システムの対応が「完了している」とした企業は前年調査から10ポイント以上、「作業が進行中」とした企業も約15ポイント増加しました。しかし、完了の割合は30%強にとどまり、いまだ多くの企業が対応に追われている最中であるとの実態も浮き彫りとなりました(図3)。

 なお、「未完了」(作業が進行中、準備・検討中、対応予定だが未着手)と回答した企業に、完了していない主たる理由を問うたところ、その進捗状況によって、遅れの理由が異なっていることも確認できました。まず、「進行中」とした企業では、「社内のIT人材リソースの不足」が課題となっており、「準備・検討中」とした企業では、「システム化予算の不足」が最も多い理由として挙げられています。また、「対応予定だが未着手」とした企業では、「社内担当部門との調整不足」が最多となりました(図4)。企業において、マイナンバー対応が一定の負担となっている現実がうかがえます。

■2016年度に向けてコンプライアンス関連支出に伸び

 今回の調査では、2015年9月に成立した改正個人情報保護法に関して、その対応状況などに関する調査も行いましたが、企業の回答状況は前年調査から大きな変化が見られませんでした。少なくとも国内企業の情報システム部門においては、法改正に伴う具体的な施策が本格化していないことが見てとれました。ただし、来る2016年度(2016年4月~2017年3月)に向けたセキュリティ関連支出の増減見込みを問うたところ、過去2回の調査と比べて、コンプライアンス関連支出に明らかな伸びが確認されました。
 次年度に向けた支出の見込みを「増加(3点)」「横ばい(2点)」「減少(1点)」「計画していない(0点)」と重み付けして有効回答で除した「セキュリティ支出増減指数」を算出し、過去の回答結果と比較したところ、2016年調査では「個人情報保護法対策費用」「個人情報保護法以外のプライバシー保護対策の費用」「内部統制/J-SOX対応費用」の3項目の指数が、過去2回の調査を大きく上回る結果となりました(図5)。
 改正個人情報保護法の影響により、プライバシー保護に向けた対策を強化しようと考える企業が少なくないことがうかがえます。

——————————————————————————–
 調査結果を受けて、ITRのシニア・アナリスト舘野真人は、「今回の調査結果では、外部からのサイバー攻撃のインシデントが拡大しており、国内企業にとって無視することのできない脅威となっていることが示されました。特に、差出人を偽るなりすましメールの認知件数はこの1年で急速に増加しており、電子メール環境の見直しは急務となっています。また、経営課題として重視する企業が増加したマイナンバー制度対応については、進展が見られた反面、人員、資金などの面で企業に少なからぬ負担を強いている実態も浮き彫りとなりました。そのため、全社的な情報セキュリティ強化という当初の目標に背を向け、マイナンバーの運用に特化したポイント・ソリューションの導入や外部委託の採用に踏み切る企業も増加しています。改正された個人情報保護法への対応とも合わせて、企業においては、社内の重要データを包括的に保護するためのプロセス、システムの整備に注力することが望まれます」と述べています。


■本調査について
 本調査は、JIPDECからの依頼に基づき、JIPDECとITRが2016年1月22日から27日にかけて実施したものです。調査は、ITRの独自パネルに対するWebアンケート形式で実施し、従業員数50名以上の国内企業に勤務しIT戦略策定または情報セキュリティ施策に関わる係長職相当職以上の役職者約2,000名に対して回答を呼びかけ、672名の有効回答を得ました(1社1名)。
 今回発表した動向だけでなく、情報セキュリティ対策の具体的な取り組み状況、製品/サービスの導入状況、個人情報保護法改正への対応など、広範にわたる調査を実施しています。調査結果の詳細は、JIPDECが2016年5月に発行予定の『JIPDEC IT-Report 2016 Spring』に掲載し、Web公開する予定です。

■JIPDECについて
 JIPDECは、1967年よりわが国の情報化推進の一翼を担い、技術的・制度的課題の解決に向けたさまざまな活動を展開しています。特に、個人情報保護、情報セキュリティに係る国内外の動向や、情報の利活用基盤整備のための調査研究等を行っています。
 また、安心安全な情報利活用環境の構築を図るため、プライバシーマーク制度、ISMS制度運用、「JCAN証明書」、「サイバー法人台帳ROBINS」等のサービス提供、マイナンバー対応のための研修等を行っています。
URL: http://www.jipdec.or.jp/

■ITRについて
 ITRは、ビジネスとITに関する問題解決を提供する独立系のITコンサルティング・調査会社です。企業のIT戦略に関するコンサルティングを提供するほか、IT関連のベンチマーク、ROIと効果の最適化、戦略的なデータ活用、ベンダー/製品の評価と選択、事業戦略とマーケティングの支援、ITの将来動向などの分野に関する調査・分析を行っています。2000年からは毎年、国内企業の情報システム責任者に対する『IT投資動向調査』を実施しています。ITRは1994年に設立、東京に本社を置いています。
URL: https://www.itr.co.jp/

■本件についてのお問い合わせ先
一般財団法人日本情報経済社会推進協会(JIPDEC)
広報室 塚本
TEL:03-5860-7555/FAX:03-5573-0561
e-mail: jipdec-info@jipdec.or.jp

株式会社アイ・ティ・アール
メディア・リレーションズ 霜中
TEL:03-5304-1301(代)/FAX:03-5304-1320
e-mail: i.contact@itr.co.jp


企業・団体情報

基本情報
名称 一般財団法人日本情報経済社会推進協会
所在地 東京都
業種 企業向けサービス
URL https://www.jipdec.or.jp/

画像

  • 図1.過去1年間に経験した外部攻撃に関わるセキュリティ・インシデントの経年比較
  • 図2.「標的型のサイバー攻撃」のリスクに対する重視度合い(経年比較)
  • 図3.マイナンバー制度に対する情報システムの対応状況(経年比較)
  • 図4.マイナンバー制度に対する情報システムの対応が完了していない主な理由(進捗状況別)
  • 図5.項目別に見るセキュリティ支出増減指数(経年比較)
  • 図1.過去1年間に経験した外部攻撃に関わるセキュリティ・インシデントの経年比較 図2.「標的型のサイバー攻撃」のリスクに対する重視度合い(経年比較) 図3.マイナンバー制度に対する情報システムの対応状況(経年比較) 図4.マイナンバー制度に対する情報システムの対応が完了していない主な理由(進捗状況別) 図5.項目別に見るセキュリティ支出増減指数(経年比較)