2018年、セキュリティ対策の投資先で人気なのは？：7つのITトピックス 2018（1/3 ページ）

1549人を対象に、企業におけるセキュリティ対策の実態を大調査。2017年に何らかの攻撃を受け、被害を受けた企業は何割に上るのか。2018年に追加投資を予定する製品、サービスとは？

[日下諒子，キーマンズネット]

　キーマンズネットでは、読者1549人を対象に「ITへの投資状況に関するアンケート調査」（2017年12月11〜19日）を行った。

　調査結果を踏まえ、キーマンズネット編集部が2018年に注目すべき7つのITトピックスを選定、「働き方改革」「改正個人情報保護法、GDPR対策」「Windows 10導入」「セキュリティ対策」「業務効率改善（RPA導入など）」「データ活用」「AI（人工知能）活用」について、その実態を1カ月にわたり、順次掲載する。

　第4回である本稿では「セキュリティ対策」に関する調査結果を見ていく。

調査結果サマリー

• 2017年にセキュリティ脅威に遭った自覚のある方は27.3％、うち9.9％は被害を受けている
• セキュリティ対策上の課題は“人材不足”と“コスト増”が中心
• ランサムウェア対策を求められている企業は全体の44.4％
• 今後導入予定のセキュリティ製品は「アンチウイルス」「次世代ファイアウォール」「メール誤送信対策」が上位に

2017年にセキュリティ脅威に遭った自覚アリは27.4％

　2017年はランサムウェアの「WannaCry」や「Petya」が登場、世界中で猛威をふるった1年であった。他にも無線LANの通信規格「WPA2」に脆弱（ぜいじゃく）性が見つかったり、大手航空会社が取引先を装ったメールにだまされ、多額の費用を入金し損害を被ったりと、相変わらず企業をとりまくセキュリティ脅威とその対策は予断を許さない状況にある。

　そこで、まず企業におけるセキュリティ被害の実態を探るべく、「この1年（2017年）で、何らかのセキュリティ被害に遭った、もしくは水際で食い止めたような経験はあったか」を聞いた。結果は全体の9.9％が「被害に遭った」と回答、「被害を水際で食い止めた」が17.5％、「被害には遭ってない」が62.0％、「分からない」が10.6％となった（図1）。

　「被害に遭った」「被害を水際で食い止めた」という回答を合計すると、全体の27.4％が何らかの攻撃を受けたことを自覚しているようだ。また、従業員規模別に見ると従業員規模が大きい方が、被害に遭ったと回答する割合が高かった。一方、100人以下の中小企業では全体平均を9.5ポイント上回る71.5％が、被害には遭っていないと認識している。

図1　2017年におけるセキュリティ被害の有無

　では実際に何らかの攻撃を受けた方は、どのような攻撃手法に遭ったのだろうか。その内容を見ると、全体では「外部からのサイバー攻撃」が71.0％、「内部の人為的なミスによる被害」が29.2％、「内部犯行による被害」が5.4％、「その他」が12.0％であった（図2）。

　外部からのサイバー攻撃については従業員規模による差はあまりなかったものの、内部犯行による被害を見ると、100人以下の中小企業では1.4％、5001人以上の企業が9.9％と、その差は8.5ポイントにも上った。従業員数が増えるほど、個人の動きを管理しづらくなる傾向にあり、悪意をもった内部関係者が混入しても気付きにくいことが起因していると推測される（大企業ほどブラックマーケットで価値の高いデータを有している、という場合もあるが）。これは、社員全員が顔見知りのような中小企業とは大きく異なるポイントだろう。

図2　攻撃方法