HOME情報セキュリティ2007年 国内における情報セキュリティ事象被害状況調査の報告書公開について

本文を印刷する

情報セキュリティ

2007年 国内における情報セキュリティ事象被害状況調査の報告書公開について

掲載日 2008年 4月17日

独立行政法人 情報処理推進機構
セキュリティセンター

独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、最新の情報セキュリティ関連の被害実態及び対策の実施状況等を把握し、情報セキュリティ対策を推進するため、「2007年 国内における情報セキュリティ事象被害状況調査」を実施し、報告書を公開しました。

 最新の情報セキュリティ関連の被害実態及び対策の実施状況を把握するため、企業・自治体を対象に郵送によるアンケート調査を行いました。本アンケート調査は、1989年度から毎年行っており、今回で19回目になります。全国の10,000企業及び1,000自治体を調査対象として実施しました。回収数は、企業1,859、自治体421です。
 併せて、より具体的な被害内容を把握するため、不正アクセスによる情報漏えい、Winny 等のファイル共有ソフトによる情報漏えいに関するヒアリング調査を実施しました。

1.情報セキュリティ対策の実施状況および被害状況について

 最新の情報セキュリティ関連の被害実態及び対策の実施状況を把握し、情報セキュリティ対策を推進するため、国内における情報セキュリティ事象被害状況調査を行いました。

(1)クライアント PC へのセキュリティ対策ソフトの導入状況

 クライアント PC へのウイルス対策ソフト等のセキュリティ対策ソフトの導入状況を見ると、9割以上の PC に導入している組織は90.7%(2006年90.3%、2005年86.4%)と、9割を超えています。
 2005年からの経年変化を見ると、2006年に9割以上のパソコンに導入済みとの回答が9割を超え、情報セキュリティ対策の初歩である本体策は、各組織に浸透しているといえます。
 注:2006年の調査は、ウイルス対策ソフトおよび統合セキュリティ対策ソフトの両方を対象としています。

セキュリティ対策ソフトの導入状況
図:1-1

(2)情報セキュリティ対策の組織的な管理状況

 情報セキュリティ対策の組織的な管理状況は、「専門部署がある」という回答が2005年29.3%、2006年26.9%、2007年23.2%と、減少傾向にあります。その反面、「兼務だが担当責任者が任命されている」の回答が2005年44.4%から、2006年50.0%、2007年53.6%と、増加傾向にあり、専門部署を設けるのではなく、兼務としている組織が増えつつあります。
 なお、「組織的には行っていない」との回答が2006年17.2%から2007年14.8%と、状況が改善されています。

情報セキュリティ対策の組織的な管理状況
図:1-2

(3)コンピュータウイルス遭遇(感染または発見)経験

 2007年1年間に、一度でもウイルスに感染したことがあるとした回答は12.4%でした。2006年は12.0%でしたので、被害に遭った割合は横ばいで推移しています。
 一方、ウイルス遭遇(感染または発見)経験を見ると、2005年69%、2006年63.3%、2007年57.8%と減少傾向にあります。不特定多数を対象とする、大量メール送信型のウイルスの出現が減少している ことから、ウイルスに遭遇する割合も減少しているものと推測します。

コンピュータウイルス遭遇(感染または発見)経験図:1-3

(4)標的型攻撃による被害状況

 標的型攻撃の電子メールを受けとった経験(発見または被害)のある組織は7.9%でした。
 認知していると回答した組織は7.9%ですが、標的型攻撃が非常に巧妙化していることを考慮すると、被害に遭っている組織は潜在的に多数存在していると推測します。

標的型攻撃の電子メールの有無
図:1-4

2.不正アクセスやP2Pファイル共有ソフトによる情報漏えいにおける被害について

 2007年に発生した不正アクセスや P2P ファイル共有ソフトによる情報漏えいの具体的な被害内容を把握するため、被害を受けた事実を公表している企業の協力を得て、ヒアリング調査を行いました。ヒアリングにより把握した主な内容は以下の通りです。詳細は、調査報告書をご参照ください。

(1)不正アクセスによる情報漏えい

 ヒアリングの事例では、休日や夜間といった時間帯を狙われたり、複数のサービスを提供する企業の比較的規模の小さいサービスが狙われたりすることにより、不正アクセスの発覚が遅れるケースがありました。
 不正アクセスによる情報漏えいの場合、攻撃を抑止することは難しいため、企業側は徹底的な防衛策を実施する必要があります。しかし、実際には企業の提供するサービスに見合った情報セキュリティ投資や情報セキュリティ対策の実施が進んでいない状況が見受けられ、潜在的に不正アクセスのリスクに晒されている企業は多いと予想します。

 また、ヒアリングを行った計4社について、「不正アクセスの顕在化・初動対応」、「被害状況調査・システム復旧対応」、「対外説明」、「再発防止策」などの一連の対応を基に被害額を推計した結果、発生した費用は、1社あたり、約700万円から6,000万円といった規模でした。

(2)P2P ファイル共有ソフト(Winny等)による情報漏えい

 Winny 等のファイル共有ソフトを介した情報漏えいは、幾度となく報道され、そのリスクも周知されつつありますが、同様のトラブルは依然として発生しています。
 ヒアリングの事例では、業務情報の持ち出しルールが徹底される前に持ち出され、個人所有の PC に保存されていた情報が Winny の利用を契機に漏えいしたケースなどが見られました。企業には、個人所有 PC から業務に関する情報を削除するよう従業員に協力を求め、必要に応じて、個人情報等を削除するツールを配布するなどの対策が望まれます。

 また、ヒアリングを行った計4社について、「情報流出の顕在化・初動対応」、「被害状況調査」、「対外説明」、「再発防止策」の一連の対応を基に被害額を推計した結果、発生した費用は、流出した個人情報の規模により異なりますが、1社あたり、約70万円から700万円といった範囲でした。

 本調査報告書は以下のURLにて公開しています。詳細はこちらをご参照ください。

(参考)

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター 花村/木邑
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7501までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail: 電話番号:03-5978-7501までお問い合わせください。