2016年9月20日

＜2016年度　企業の情報セキュリティリスク調査-1＞セキュリティ侵害の復旧コストは時間が経つほどに増大、速やかな検知が鍵

世界25か国の企業に勤務する4,000人を対象に情報セキュリティリスクに関する調査を実施した結果、復旧にかかるコストは時間の経過とともに増大すること、企業が直面している脅威に関する詳細情報や脅威インテリジェンスを得ようと回答している人は日本ではわずか8%に留まりました。また、ITインフラの複雑化が情報セキュリティ予算増大の要因であることなどが明らかになりました。

～企業が直面している脅威に関する詳細情報や脅威インテリジェンスを得ようとしていると回答した人は全世界で17%に対し、日本はわずか8% ～

[本資料は、2016年9月13日にKaspersky Labが発表したプレスリリースに基づく参考資料です]

Kaspersky Labとグローバル調査会社のB2B Internationalは、世界25か国の企業に勤務する4,000人を対象に、情報セキュリティリスクに関する調査を実施しました。^※1　調査の結果から、自社を保護するための予算やセキュリティ侵害の復旧コストなど、サイバーセキュリティに関する財務への影響などが明らかになりました。

・大企業勤務の48％が、情報セキュリティ予算増大の要因としてITインフラの複雑化を挙げる

現在、IT予算全体に占める情報セキュリティ支出の割合は、中小企業では18%、大企業では21%ですが、全体として、今後3年間で情報セキュリティ予算は14%以上増加する見通しです。その主な要因として、ITインフラの複雑さを挙げる回答が、中小企業では42％、大企業では48％にものぼりました。具体的には、組織内のデバイス数の増大が51％、クラウドの利用およびビジネスプロセスの外注化が47％などです。いずれの規模企業でも、ITセキュリティの投資利益率（ROI）を組織上層部に対して実証することは難しいとしながらも、対策の重要性を優先しROIにかかわらず情報セキュリティの改善に投資を継続する意向を示しています。

・中小企業における全世界の平均復旧コストは、1週間以上経過してから発見した場合、1日以内に発見された場合に比べて44%増加

日本企業では、自社で過去12か月間にデータの損失、漏洩、または暴露のインシデントが1～5件発生したと回答した人は78% でした（全世界では82%）。こうしたインシデントにより、37%の企業が数日の間、業務上不可欠な情報へアクセスできなかったと回答しました（全世界では27%）。

また、1回のセキュリティ侵害によって発生する全世界での平均復旧コストは、中小企業で86,500ドル、大企業では861,000ドルにのぼると見積もられています。セキュリティ侵害が発見されたタイミングとその復旧コストは、1週間以上経過した場合は1日以内に発見された場合に比べ、中小企業の場合は44%、大企業では27%増加すると見積もられています。いずれの場合でも復旧にかかるコストは時間が経つほどに増大するため、セキュリティ侵害の速やかな検知が鍵となります。

図1：セキュリティ侵害発見のタイミングと復旧コスト（全世界、中小企業）

図2：セキュリティ侵害発見のタイミングと復旧コスト（全世界、大企業）

最も深刻なセキュリティ侵害で発生した損失について、中小企業と大企業のどちらにおいても頻繁に発生するコストは従業員の時間外手当でしたが、大企業ではセキュリティトレーニングに79,000ドル、外部専門家からの支援に85,000ドルを費やしており、これは損失総額の19%に相当します。

サイバー攻撃の経済的影響は、それに対抗するために投入するリソースと関連させて捉えなければなりません。日本企業は、ますます勢いを増す攻撃を前に情報セキュリティの強化の必要性を認識しており、回答者の33% が今後12か月間で社内ITスタッフと情報セキュリティスタッフを増員するとしています（全世界では29%）。しかし、企業が直面している脅威に関する詳細情報や脅威インテリジェンスを得ようとしていると回答した人は全世界で17%に対し、日本はわずか8%に留まりました。

Kaspersky Labの中小企業向けビジネス部門マーケティング部長、ウラジーミル・ザポリャンスキー（Vladimir Zapolyansky）は、次のように述べています。「弊社のグローバル調査によれば、サイバー攻撃による直接的な損失と間接的な損失をすべて考慮した場合、情報セキュリティ予算の平均額は、攻撃2.5回分の『価値』しかありません。企業は日々、何千もの脅威にさらされていますが、効率的なサイバーセキュリティであれば費用に見合った成果が期待できます。企業は自社への脅威を明確に理解しており、中小企業に勤務する59%の回答者と大企業の62%が、成果を測る能力の有無に関係なく、セキュリティを強化する予定だと回答しています。調査の結果から、侵害の発生から対応までの時間が、金銭的な損失に直接的な影響を及ぼすことも証明されました。これは予算の増額のみで対処できることではありません。人材やインテリジェンスが必要になるほか、自社の事業を迅速に保護する体制が求められます。弊社はセキュリティベンダーとして、企業のセキュリティ予算の配分に差があることを念頭に置きつつ、あらゆる規模の企業へツールとインテリジェンスを提供することを目指しています」

■ 調査結果の詳細は、Kaspersky Dailyをご覧ください。

https://blog.kaspersky.co.jp/security_risks_report_financial_impact/12594

Kaspersky Labは、サイバーセキュリティ分野の若手人材育成を支援する「Talent Lab」プログラムを実施しています。
https://academy.kaspersky.com/

※1　企業における情報セキュリティリスク調査（2016 Corporate IT Security Risks survey）は、Kaspersky LabがB2B Internationalと共同で実施する年次調査です。2016年は、25か国の零細企業（従業員数1～49）、中小企業（同50～999）と大企業（同1,000以上）に勤務する4,000人を対象に調査を実施しました。日本の回答者は、中小企業と大企業に勤務する219名です。