HOME情報セキュリティ2006年 国内における情報セキュリティ事象被害状況調査の報告書公開について

本文を印刷する

情報セキュリティ

2006年 国内における情報セキュリティ事象被害状況調査の報告書公開について

掲載日 2007年 8月29日

独立行政法人 情報処理推進機構
セキュリティセンター

独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、最新の情報セキュリティ関連の被害実態及び対策の実施状況等を把握し、情報セキュリティ対策を推進するため、「2006年 国内における情報セキュリティ事象被害状況調査」を実施し、報告書を公開しました。
( URL http://www.ipa.go.jp/security/fy18/reports/virus-survey/ )

 本調査は、最新の情報セキュリティ関連の被害実態及び対策の実施状況を把握するため、企業・自治体を対象に郵送によるアンケート調査を行いました。本アンケート調査は、1989年度から毎年行っている調査の18回目になり、全国の7,000企業及び1,200自治体を調査対象として実施しました。回収数は、企業1,213、自治体562です。
 併せて、より具体的な被害内容を把握するため、Winny 等のファイル共有ソフトによる情報流出事象に関するヒアリング調査を14社に対して実施しました。

1.国内におけるコンピュータウイルス被害状況と対策の実施状況について

 最新のコンピュータウイルス関連の被害実態及び対策の実施状況を把握し、コンピュータウイルス対策を推進するために、国内におけるコンピュータウイルス被害状況調査を行いました。

(1)コンピュータウイルス遭遇(感染または発見)経験

2006年1年間の間に、一度でもウイルスに感染したことがあるとした回答者は12.0%でした。2005年は 15.3%、2004年は20.9%でしたので、感染被害は減少傾向にあることがわかりました。感染被害が減少している要因として、対策が浸透している様子が以下の(2)~(4)の項目からも明らかになりました。

コンピュータウイルス遭遇(感染または発見)経験

(2)クライアント PC へのセキュリティ対策ソフトの導入状況

クライアント PC へのウイルス対策ソフト等のセキュリティ対策ソフトの導入状況では、9割以上の PC に導入している企業は90.3%(2005年86.4%、2004年73.8%)と、9割を超える状況となりました。また、対策ソフトを導入していない企業は1.7%(2005年2.4%、2004年7.1%)と、わずかながら昨年より改善された状況でした。
注:2006年の調査は、ウイルス対策ソフトおよび統合セキュリティ対策ソフトの両方を対象としています。

ウイルス対策ソフト等のセキュリティ対策ソフトの導入状況

(3)セキュリティパッチの適用状況

クライアント PC へのセキュリティパッチの適用状況では、「常に最新のパッチを適用」との回答は35.4%(2005年32.0%、2004年31.2%)で、「定期的に適用」32.9%(2005年32.2%、2004年25.2%)と、年々改善されており、セキュリティ対策への意識が向上している様子が伺えます。
 しかし、「ほとんど適用していない」、「わからない」、「無回答」を合計した16.1%(2005年16.0%、2004年25.4%)の企業が無防備な状態でパソコンを利用している状況となっています。

セキュリティパッチの適用状況

(4)ウイルス対策の組織的な管理状況

 ウイルス対策の組織的な管理状況の回答では、「専門部署がある」26.9%(2005年29.3%、2004年22.6%)、「兼務だが担当者任命」50.0%(2005年44.4%、2004年34.3%)となっており、この両者の合計を、企業内にウイルス対策の部署(担当者)が設置されているものとすると8割弱となり、昨年より状況が改善されたことが判明しました。

ウイルス対策の組織的な管理状況

(5)Winny などのファイル共有ソフトによる情報の流出について

アンケート回答のあった企業・自治体1,775社・団体のうち、2006年に Winny などのファイル共有ソフトのウイルス感染により、情報が流出した企業及び自治体の数は、59社・団体(3.3%)でした。

(i)流出した情報の種類は、「組織内の業務情報」が6割弱、「顧客(個人)情報」が約4割、「顧客(企業)情報」が約3割でした。

ファイル共有ソフトにより流出した情報の種類

(ii)Winny 等のファイル共有ソフトを介した情報流出に関連する間接被害※1について聞いたところ、取引先に関係する被害及び風評によるブランド価値の低下や売上減などの被害が大勢を成している状況が判明しました。

※1:間接被害とは、「情報流出時の初動対応に係る費用」、「被害状況の調査に係る費用」等の直接的な被害以外の、「取引先からの信用低下」、「風評によるブランド価値低下等」といった間接的な被害を示す。

Winny等を介した情報流出に関連する間接被害

 図1-6の結果から、直接被害に加えて、間接被害が発生している組織は、約36%※2あることが明らかになりました。
※2:「特に被害を受けなかった」、「無回答」の回答を除いた数値。

2.Winny などのファイル共有ソフトによる情報流出における被害について

 2006年に発生した Winny などのファイル共有ソフトを介した情報流出の具体的な被害内容を把握するために、被害を受けた事実を公表している企業にご協力いただき、14社に対してヒアリング調査を行いました。ヒアリングにより把握した主な対応内容は以下の通りでした。

対応段階 対応内容
(1)情報流出時の初動対応 ・情報流出が顕在化した際、事実関係の把握のために、広報部門またはインシデント検出チームなどの従業員1~2人が数時間かけて情報流出を検出し、インシデントを認識。
(2)被害状況の調査 ・流出元パソコンの特定から流出情報の分析まで、情報セキュリティ部門の2~4人が数時間~6日程度で実施。 
・社内対応チームによる対外説明や緊急再発防止策を策定するための対策会議は10~20人を要し、全体で2~3日分程度。
(3)対外説明 ・お客様へのお詫びとして電話、郵送、戸別訪問を実施。概ね30~50人・日を要す。
・電話による問い合わせ窓口を設置し、情報が漏えいしてしまったお客様への対応を実施。
(4)緊急再発防止策 ・全従業員に対する Winny 利用や個人パソコンでの業務実施状況調査および再教育を情報セキュリティ部門が数日中に実施。
(5)恒久的対策 ・社費によるパソコンの追加購入、インシデント検出の専門チームを構成。
・データを暗号化するソフトウェアを社内パソコンに導入。

 上述の対応のうち、(1)~(4)までの対応について、ヒアリングを行った14社全社が実施していました。対応に要した費用は、数百万円から一千万円台のケースがほとんどでしたが、中には2,500万円程度かかったケースもありました。
 さらに、(5)の恒久的対策を本格的に実施したケースが4社ありました。そのケースでは、私物パソコンを一掃するために、追加でパソコンを大量購入したり、暗号化ソフトウェアを購入しており、一連の対策を実施するためにかけた費用が1億円を超えるケースが2件ありました。

 本調査報告書は以下のURLにて公開しています。詳細に関してはこちらをご参照ください。

(参考)

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター 花村/小門
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7501までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/佐々木
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail: 電話番号:03-5978-7501までお問い合わせください。