日本情報経済社会推進協会とアイ・ティ・アールが実施した「企業IT利活用動向調査2019」の集計結果(詳細版)によると、2019年2月までの過去1年間に経験したセキュリティー上の脅威事象の上位3つは「スマートフォン、携帯電話、タブレットの紛失・盗難」「従業員によるデータ、情報機器の紛失・盗難」「社内PCのマルウェア感染」だった。上位項目は2018年と同じだ。

[画像のクリックで拡大表示]
(出所:日本情報経済社会推進協会、「企業IT利活用動向調査2019」(詳細版)、2019年7月31日)
[画像のクリックで拡大表示]

 紛失や盗難以外で増加したのは「外部からのなりすましメールの受信」だった。前回の2018年調査では15.9%だったが、2019年調査では17.8%に増えた。ビジネスメール詐欺(BEC)が増加の要因という。

 ところが電子メール受信者としてのセキュリティー対策は不十分なようだ。

 約50%の企業がアンチウイルスやスパムフィルターを導入している一方で、メールの送信元のIPアドレスなどが正当なものか判別して詐称を防ぐSPFを設定している企業の割合は26.4%、電子署名によって送信者や内容の改ざんされていないかを検証できるDKIMを設定しているのは24.8%にとどまった。SPFやDKIMを利用して受信者が送信ドメインを認証できなかったメールを受け取るかどうかを指定できるDMARCを設定している割合も22.2%と低迷している。

 システムリスクの軽減策についてはITサービスマネジメントのベストプラクティス集などを活用した「ITサービスマネジメントの実施」をしている割合が約4割にとどまった。IT部門は世界共通の知識体系を基に、ビジネス環境などの変化に合わせてITサービスの改善を進める必要がありそうだ。