インシデントの被害防止に経営層は何をすべき？　調査から見えた2つのポイント

　トレンドマイクロの調査によると、2019年4月～2020年3月の一年間で何らかのセキュリティインシデントが発生した組織は約8割に達し、被害を受けた組織の年間平均被害額は約1億4800万円に上るという深刻な結果が出た。特に注目すべき点としては「標的型攻撃」「ランサムウェア感染」を経験した割合がおよそ20％前後となっている点だ。これらは時に組織に甚大な被害を引き起こすことから、約5人に1人の回答者が経験しているこの状況は深刻だといえる。

　一方、組織における情報セキュリティのリスク管理については約3割が「できていない」、CSIRTの実効性については約2割が「有効に機能していなかった」と回答している。こうした組織ではインシデントによって実被害につながっている割合が高いことから、リスク管理や実効性を伴うCSIRTの構築はインシデントの実被害防止に寄与することが分かる。

　この結果を踏まえて経営層は何ができるだろうか。本資料では、調査結果を基にインシデントの発生状況やインシデントの実被害を軽減するために有効な取り組みを解説する。また、昨今のIT環境やシステムにおける懸念やセキュリティ対策検討状況についてもまとめている。