サイバーセキュリティ対策に関する「従業員の意識改革」に悩む大企業は6割超。“リスクマネジメントの難しさ”が明らかに

大企業の1割強は「1回以上の不正アクセスを受けたことがある」

2024年上半期は、KADOKAWAや積水ハウス、LINEヤフーなどの大手企業だけでなく、地方自治体、大学などの教育機関等でも、サイバー攻撃やランサムウェア感染による個人情報の流出が相次いだ。業種や事業規模を問わず、サイバー攻撃は事業運営に致命的なダメージを与えかねない。今や情報セキュリティ対策は避けて通れない経営課題となっている。

東京商工リサーチの調査では、企業の不正アクセスや情報セキュリティ対策への取り組み状況が明らかになった。まず、同社が「2020年以降で、貴社では不正アクセスを受けたか？」と尋ねると、全体（5,735社）のうち、不正アクセスを「1回受けた」が3.92％（225社）、「2回受けた」が0.84％（48社）、「3回以上受けた」が4.45％（255社）となった。直近2年で不正アクセスを受けたことがあるという企業は、合計9.21％で約1割となり、「複数回の攻撃を受けている場合が多い」との実態が明らかとなっている。

また、不正アクセスを受けたことがある割合を企業規模（資本金）で比較すると、「資本金1億円以上の大企業（550社）」は計13.82％、「資本金1億円以上の中小企業（5185社）」は計8.72％となった。大企業ほど大規模なシステムや大量データを保持しており、不正アクセスの脅威に晒されやすいと考えられる。

次に、「不正アクセスに対してどのように対策しているか？」を尋ねた全体結果では、「セキュリティ対策ソフトの導入、見直し」がトップの58.5％（3,399社）だった。また、全体2位は「研修の実施」26.2％（1,523社）だが、これについて大企業と中小企業の結果を比較すると、大企業62.1％に対して中小企業22％と、40.1ポイントの大差があった。

大企業の6割が「従業員の意識改革・リテラシー向上」に苦慮

次に、「不正アクセス対策についてどのような課題を抱えているか？」を尋ねたところ、「従業員の意識改革・リテラシー向上」が39％（2,177社）で最多となった。次点以降は、「専門知識のある人材の確保」が34.5％（1,930社）、「対策費用の捻出」29.0％（1,621社）と続いた。

先述の資本金規模で分けた大企業・中小企業の結果を比べると、「従業員の意識改革・リテラシー向上」では、大企業の60.8％に対し中小企業は36.4％と、24.4ポイントの差があった。大企業の方が「従業員の意識改革」の課題感が強い要因として、従業員が多く、異動などで人の入れ替わりもある点が挙げられる。加えて、社歴や携わる職種も多岐にわたり、情報セキュリティに対する従業員の意識付けに苦心している様子がうかがえた。

また、「その他」と回答した人のフリーコメントには「業務効率とセキュリティ対策とのバランス」との声があった。具体的には「PCの社外持出しはセキュリティ面では好ましくないが、業務上は避けられない」というような実態があるようだ。

総務省の「令和5年情報セキュリティ白書」によると、サイバーセキュリティ上の脅威は2015年以降増加の一途を辿っている。企業もこの現状を踏まえた対策を講じていることが、本調査結果でも明らかとなった。特に従業員の多い大企業は、研修による効率的な周知徹底をかなり重視しているが、6割以上が従業員の意識改革に頭を悩ませていた。被害を防止するには、技術的なセキュリティ対策に取り組むだけでなく、従業員一人ひとりの意識付けが欠かせない。サイバー攻撃の被害を未然に防ぐためにも、「技術強化」と「意識向上」の両輪でセキュリティ対策を考えたい。