過去1年間の間に、ランサムウェアによる事件・事故に遭った国内企業の割合は32.5％――。日本でも、数多くの企業がランサムウェアによる被害を実際に被っていることが判明した。

これは、NRIセキュアテクノロジーズの「企業における情報セキュリティ実態調査2017」の調査結果だ。同調査は、上場企業および未上場の有力企業の情報システム・情報セキュリティ担当者を対象に毎年実施されているもので、「国内の大手・有力企業のセキュリティの取り組み状況を明らかにすることが目的」（NRIセキュアテクノロジーズ コンサルティング事業本部 ストラテジーコンサルティング部 セキュリティコンサルタントの金子洋平氏）。

ランサムウェアが調査対象となったのは今回が初だが、急速に被害が広がっていることが分かる。

急増するランサムウェア、標的型メール攻撃による被害

ランサムウェアに感染した後の対応だが、「日本企業はほとんど金銭を払うことがない」と金子氏。今回の調査で「金銭を支払った」と回答した企業はゼロだった。バックアップデータからの復旧や、感染PCの再キッティングによる対応がほとんどとなっている。

なお、同調査の対象企業は前述の通り、上場企業が中心。「上場企業なので、犯罪に加担したくない、ということで今回の結果となっているが、もしかすると中小企業は違うかもしれない」と同セキュリティコンサルタントの山本直実氏は補足した。

標的型メール攻撃による事件・事故に過去1年間に遭った国内企業の割合も34.1％と、昨年調査から倍増している。

9割の企業でセキュリティ人材不足このようにサイバー攻撃による被害は拡大するばかりだが、一方でこうした高度な攻撃への対策は遅れている。

ファイアウォールの導入や受信メールのウイルスチェックといった基本的な対策については実施済みの企業が多かったが、Webアプリケーションファイアウォール（WAF）を導入している企業は22.7％、受信メールの添付ファイル拡張子規制を行っている企業は34.9％にとどまっている。

セキュリティ人材の不足問題も、より切実になっているようだ。セキュリティ人材について「どちらかといえば不足している」「不足している」と回答した企業の合計は以前から8割を超えていたが、今回は89.5％と9割近くにまで上昇した。

約9割の企業でセキュリティ人材が不足

この背景には、2つの要因があると推察されるという。

まずは、経営層の関心の高まり。経済産業者が2015年にサイバーセキュリティ経営ガイドラインを策定したのを契機に、経営問題としてセキュリティを捉える経営者が増えた。その結果、情報セキュリティの現場では、「うちのセキュリティはどうなっている？」など、経営層の要求・指示への対応が増えており、これが人材不足に拍車をかけている。

もう1つの要因は、ランサムウェアや標的型メール攻撃などによる被害の増加だ。対応が必要なインシデントも増えたことで、人材が不足しているのである。