経済産業省から「サイバーセキュリティ経営ガイドライン」が2015年12月に公開され、また多くの企業がサイバーセキュリティ対策を推進している中、サイバー攻撃による企業への被害は後を絶ちません。こうした中、KPMGコンサルティングでは、国内の企業におけるサイバーセキュリティ被害の実態と対策の実情、抱えている課題などについて本サーベイにまとめました。
「KPMGサイバーセキュリティサーベイ2017」の主な調査結果
1.セキュリティ被害の実態と対策の実情
- およそ3割(27.4%)の国内の企業が、実被害の有無を問わず、過去1年間に不正な侵入を受けたことが明らかになりました【図1】。被害内容の内訳では、回答企業の22.3%でランサムウェアによる業務上の被害が発生していました【図2】。
- 企業においてサイバー攻撃などのインシデントに対応する組織である「CSIRT(Computer Security Incident Response Team)」を設置済みの企業は2割弱に留まり、設置予定がないと回答した企業が約40%にも達していました【図3】。また、今回の調査で設置予定がないと回答した企業のうち、売上高が5,000億円以上の企業でも12.7%と、企業規模を問わず国内の企業でのCSIRTの設置が進んでいないことが明らかになりました。
2.訴訟リスクや事業の継続への対策
- 善管注意義務違反や株主代表訴訟など、情報漏えいなどが発生した際に経営層が法的な責任を問われる恐れがある、法的リスクを考慮した具体的な準備や対策については、「できているともできていないとも言えない」を含めると、回答企業の77%が実施できていないことがわかりました【図4】。
- 回答企業の70%は、インターネットの遮断が数日間に及んだ場合の、事業上の継続・縮退のための手段を確保できていないことがわかりました【図5】。
3.サイバーセキュリティ対策への投資額
- サイバーセキュリティ対策に対する「1年間の投資額」について、回答企業の40%が1,000万円以上を投資することがわかりました。さらに、7.2%の企業は1億円以上を投資しています【図6】。
- 30.5%の企業が、2017年度の投資額は前年度に比べ増加すると回答しました。さらに、5.5%の企業は、前年度に比べ5割以上増加すると回答しています【図7】。
「KPMGサイバーセキュリティサーベイ2017」調査概要
| 調査期間 | 2017年4月17日~5月15日 |
|---|---|
| 調査方法 | 郵送によるアンケート票の送付・回収 |
| 調査対象 | 国内上場企業、および未上場の売上高500億円以上の企業の情報セキュリティ責任者 |
| 有効回答数 | 457件 |
KPMGコンサルティングについて
KPMGコンサルティングは、KPMGインターナショナルのメンバーファームとして、ビジネストランスフォーメーション(事業変革)、テクノロジー、リスク&コンプライアンスの3分野でサービスを提供するコンサルティングファームです。戦略、BPR、人事・組織、PMO、アウトソーシング、ガバナンス・リスク・コンプライアンス、ITなどの専門知識と豊富な経験を持つコンサルタントが在籍し、金融、保険、製造、自動車、製薬・ヘルスケア、エネルギー、情報通信・メディア、サービス、パブリックセクター等のインダストリーに対し、幅広いコンサルティングサービスを提供しています。
関連リンク
サイバーセキュリティサーベイ2017(本件のレポート紹介ページ)