日本の情報セキュリティ対策、アメリカに２年遅れ／MM総研調査

アメリカ企業の被害額50%減少に対し、日本企業は83%増加

IT分野のマーケティング・リサーチ等を行うMM総研は、９月25日、日米の情報セキュリティ対策の調査結果を発表した。
なりすまし、ウィルス感染、標的型攻撃など情報セキュリティにかかわる被害額は2012年度から2013年度にかけて、アメリカ企業が50%減少しているのに対し、日本企業は83%増加していた。

この調査は、従業員数1,000名以上の日本企業300法人、アメリカ企業300法人のセキュリティ担当者にアンケート回答を求め、情報セキュリティ被害の状況や対策状況を分析したもの。
調査結果によると、アメリカ企業では2012年度から2013年度にかけて、ほとんどの主要な手口による被害が減少傾向にある。たとえば代表的なサイバー犯罪の一つである「なりすまし」による被害金額は72%減少した。
これに対して、日本企業の「なりすまし」による被害金額は同期間で141%増加しており、日本企業の「甘さ」を浮き彫りにした形だ。

実際、2014年度の企業1社あたりの情報セキュリティ投資額（計画値）は日本23億円に対し、アメリカは32億円。意識の差は、金額にも現れている。

セキュリティ対策は必須、被害を受けてからでは遅すぎる

近年、企業内部からの情報漏洩やサイバー攻撃など、公的機関や民間企業の情報システムの防衛が大きな課題になっている。

企業内部の情報漏洩がいかに大きな信頼失墜となるかについては、今年の７月に起きたベネッセコーポレーションの情報漏洩事件が記憶に新しい。

内部に目を光らせれば、安全ということは全くない。
たとえばウェブサイトが改竄されると、訪問者はマルウエアサイトにリダイレクト（転送）される。その結果、「クレジットカード情報を盗まれる」「パソコンが操作不能になる」といった被害が起きる。
最新のブラウザを使い、ウィルス対策ソフトを入れていれば安全とは限らない。ブラウザやウィルス対策ソフトがマルウエアを検知出来ないケースもあるからだ。

公的機関や大手企業が被害に遭うと、マスコミやネット上で話題になるが、その割にあまり「自分にも起こりえる」という危機感を持つ企業や組織は少ないようだ。

MM総研によれば、日本の対策はアメリカに比べて、おおむね2年遅れの水準にあるという。
アメリカでは、専門家のコンサルティングサービスを利用する企業が日本の約2倍の51.0%に達する。コンサルティング利用企業が導入しているサービス内容では、「リスク診断・評価」の79.1%に加えて、「セキュリティ対策プラン作成」が68.6%で、各社に適した対策を行っている企業が多い。

アメリカでは外部からの攻撃の対策に成功しつつあるようだ。専門家のコンサルティングサービスを活用する企業が日本の約2倍の51%に達するという調査結果に、それが見える。

情報分野のセキュリティ対策は、知識がないとほぼ無理である。専門家に依頼して、セキュリティを高めることが重要だ。