報告事例は氷山の一角

独立行政法人情報処理推進機構（IPA）では、全国の中小企業に勤務する従業員1000人に対してサイバーセキュリティーに関するアンケートを実施した。その結果、会社や上司に報告されるトラブルや社外へ公表・公開される事例は氷山の一角であって、これを相当数上回る「隠れサイバートラブル」の存在がうかがえる結果となった。

■中小企業のサイバーセキュリティートラブル

過去3年間にサイバーセキュリティー上の事故やトラブルを経験した中小企業従業員は10･5%で、トラブル1位は「ウイルス・ランサムウェアによる被害」、2位は「取引先を装った偽メールによるウイルス感染」と、ウイルス関連が上位となった。一方で、サイバーセキュリティー上の事故やトラブルに関して、勤務先が社外への公表・公開（プレスリリースやホームページへの掲載など）を行ったと答えた中小企業従業員は41･0%にとどまった。

■中小企業の情報管理ルール

勤務先の中小企業においてIT機器やデータの取り扱いなどの情報管理関連ルールが制定されていると回答したのは全体の42･7%で、6割近くはルールが制定されていない、またはルールの有無を認識していないという結果となった。

また、情報管理関連のルールがあると回答した人のうち、過去3年間でそのルールに違反したことがある人は19･0%で、その違反を会社や上司に報告したか尋ねたところ、一度も報告を行わなかった人は43･2%に上った。ルールに違反した理由については、1位は「ルールは理解していたが、それを守る意識が希薄だった」48･1%、2位「ルールは理解していたが、正しい手順や対応方法などの知識や理解が不足していた」33･3%と、ルールは理解しているものの危機意識や知識・理解不足が原因であることが明らかになった。

■従業員個人のサイバーセキュリティートラブル

勤務先での業務に関わるIT機器やデータの取り扱いにおいて、過去3年間に従業員個人として経験したサイバーセキュリティー上の事故やトラブルは「自分の利用している端末がウイルス・ランサムウェアなどに感染した」が最多。続いて「機密を含む情報をメールの宛先間違いなどで対象外の人に発信してしまった」「フィッシングメールなどのURLをクリックし、個人情報などを入力してしまった」「業務上利用するIT機器／端末の盗難・紛失に遭った」などのトラブルが多くなっている。

一方で、各項目において「事故やトラブルが発生した」と回答した人のうち半数前後は「発生したが、会社・上司に報告しなった」という結果になっており、明らかになっていない「隠れサイバートラブル」が存在していて、実際の被害は報告されているものより相当数多い可能性があると考えられる。

トラブル意識向上へ啓発コンテンツ公開

IPAでは昨年11月に公開した「サイバーセキュリティお助け隊サービス」のウェブサイト（下記URL参照）で、登録サービスを紹介するのみならず、サイバーセキュリティー意識の向上を目的とした分かりやすく親しみやすい啓発コンテンツも同時公開している。例えば、日常の業務で見落とされがちなリスクを46種類のポップなイラストと標語で表現した「サイバーセキュリティ対策かるた」や中小企業向けの情報セキュリティー関連情報へのリンクなどを掲載しているので活用してほしい。 （独立行政法人情報処理推進機構・江島将和）

「お助け隊」ウェブサイトはこちら　▶　https://www.ipa.go.jp/security/otasuketai-pr/