2016年の1年間に経験したセキュリティインシデントについて調査したところ、全体の約4割が、個人情報や内部情報の漏えい、ランサムウェアによるデータ暗号化、金銭詐欺などのセキュリティインシデントによる重大被害を経験していることが分かった。また、年間被害額は前年の平均2億1,050万円を超え、平均2億3,177万円と過去最高という結果になった。
セキュリティインシデントによる重大被害の上位は、1位「従業員・職員に関する個人情報の漏えい」(14.2%)、2位「顧客に関する個人情報の漏えい」(10.0%)、3位「業務提携先情報の漏えい」(8.1%)など、何らかの情報漏えい・流出被害を経験している法人組織が31.1%に上ることが明らかになった。また、近年猛威を振るっているランサムウェアによって、7.6%がデータ暗号化の被害に遭い、取引先や経営幹部・上層部を偽ったビジネスメール詐欺による金銭詐欺被害には7.4%が遭っていることも分かった。
「WannaCry」に代表される2016年以降のランサムウェア騒動を受けて、法人組織の22.5%がセキュリティ予算をすでに増加し、21.6%が予算増加に向けて調整段階にあると回答。何らかの重大被害を経験した組織ほど予算の増加意向は格段に高い(増加:40.5%、調整中:24.6%)傾向にある一方、重大被害/インシデント未経験の組織でも、2割以上が予算の増加傾向(増加:7.4%、調整中:17.5%)にあることが明らかになった。世間を騒がせるランサムウェアが事業継続を脅かす深刻な脅威として認知され、法人組織がセキュリティ投資にやや前向きになり始めていることが推測できる。
セキュリティ上の脅威を事業継続・組織運営を脅かすリスクとして認識している経営層・上層部は、全体の32.1%と前年の31.1%と比較してほとんど変化がなかった。経営層・上層部が自組織のセキュリティ対策に積極的に関与している割合も、全体の26.5%にとどまっている。セキュリティ対策に関する意思決定者・関与者のリスク認識レベルも決して高くなく、サイバー攻撃の脅威が法人組織にとって一層深刻になる一方で、法人組織の多くでサイバーリスクに対する認識が高まらない現状が浮き彫りになっているとトレンドマイクロは分析する。
今回の調査は、法人組織における情報セキュリティ対策の意思決定者、およびに意思決定関与者計1,361人(民間企業:1,100人、官公庁自治体:261人)を対象に2017年6月にインターネットで実施した。