情報処理推進機構が2014年8月~10月にかけて13,000企業を対象に情報セキュリティ体制・対策やウイルス・サイバー攻撃の被害状況などを調査した「2014年度情報セキュリティ事象被害状況調査」を公開した。有効回答は1,913件(14.7%)であった。
サイバー攻撃の遭遇率は前回の13.8%から5.5ポイント増加の19.3%で、そのうち被害に遭った人は4.2%であった。被害内容ではウェブサイトのサービス機能低下が22.5%と最も多く、サイトのサービス停止が13.8%であった。
サイバー攻撃に遭遇した19.3%(368社)のうち標的型攻撃をうけたのは30.4%の112社で、被害に遭った割合は18.8%の21社であった。手口としては取引先などのサービス事業者などを装ったウィルス入り添付ファイルが54.5%の61社で、次いでURL記載のメールによるサイト誘導が40.2%で45社であった。
ウィルスに遭遇した割合は73.8%で、ウェブサイト閲覧によるものが65.4%、メールが60.6%であった。
クライアントパソコンへのセキュリティパッチの適用状況の調査では、常に適用して適用状況も把握している人が43.3%で、前回から7.3ポイントアップした。一方で、常に適用する方針だが実際の適用状況が不明という人は29.7%、適用を各ユーザに任せているのは13.6%であった。
サーバのセキュリティパッチ適用に関する質問では外部公開のサーバへのパッチ適用をほとんどしてない割合は6.3%である一方、組織内部利用のサーバへのパッチをほとんど適用していないという回答が16.8%で、多くの理由はパッチ適用による悪影響を及ぼすリスクを避けるためという回答が74.0%であった。
パスワード設定ルールに関する質問では、定期的なパスワード変更が必須の企業は53.1%で、従業員300人以上の企業では62.8%、一方300人未満の企業では37.4%と規模により大きな差がでる結果となった。
