上場企業の約3分の2にあたる64.7％の企業が情報セキュリティに関する事故を経験していることがわかった。約4割がウイルス感染を経験している。

NRIセキュアテクノロジーズが8月から9月にかけて東証1部、2部上場企業3000社を対象に実施したアンケート調査「企業における情報セキュリティ実施調査 2009」により判明したもの。有効回答数は804。同調査は企業におけるセキュリティ対策の実施状況や事故の発生、投資状況など取りまとめており、 2002年より実施しており、今回で8回目。

企業が経験した事故や事故でもっとも多かったウイルスやワームへの感染は42.3％で発生。会社貸与の情報機器の紛失が22.7％、メールの誤送信が19.2％、会社貸与の携帯電話紛失、盗難が17.5％で続いた。標的型攻撃については、割合は小さいものの1％、ウェブサイトの改ざんについても 0.8％が経験している。

一方、個人情報漏洩に関しては、過失による個人情報漏洩は6.3％で発生。故意による漏洩についても0.9％にのぼる。個人情報以外の漏洩時についても過失が6.1％、故意による漏洩も0.5％だったほか、機密情報の盗難が1.6％だった。

事故を発見した契機としては、社員が偶然発見したケースが66％でトップ。23.4％はログのチェックで明らかになったという。また顧客や会員の通報や他社からの通報などもそれぞれ約1割ほどあった。





僕の感覚としては、
上場企業の６割がセキュリティ事故を経験しているのは、
意外に少ないと思う。
何をもって、「情報セキュリティ事故」と判断するかというと
組織によって解釈や基準がまちまちだが、
基本的には、ＩＳＭＳ関連の文書、ＰＭＳ関連の文書、
ＪＩＳ Ｑ１５００１規格、ＩＳＯ２７００１規格等々に
記載されているルールから逸脱していると
「情報セキュリティ事故（インシデント）」と考えられる。

今回の調査結果の記事の最後の段落にある、
「社員が偶然発見したケースが66％」に僕は注目したい。
なぜなら、偶然に発見したにせよ、
従業員の「個人情報」についての意識が高いと思われるからである。

情報漏洩防止にコストを考えなければ、
システム的には、簡単に実現できる。
しかし、それを使う“ヒト”が
「個人情報」についての意識が薄いと
どんなに素晴らしいシステムを導入しても
何の意味がない。
つまり、最大の脅威と脆弱性は、“ヒト”なのである。