ネットワーク

世界の企業が直面する情報セキュリティの現状とは～シマンテックが調査

印刷
このページは、Dell.com でチェックしてください! E-メール
評価
1 / 5
2 / 5
3 / 5
4 / 5
5 / 5

シマンテックは 3月25日、企業が直面する情報セキュリティの現状について実施したアンケート調査の結果を発表した。サイバー攻撃の被害経験や、情報漏えいといった対策への取り組みなどの状況を紹介している。

この調査は、米 SymantecがApplied Researchに委託して1月に実施したもの。従業員数500人以上の企業を対象に、世界27カ国2100社（うち日本は100社）の情報セキュリティ担当役員や管理者などから回答を得た。

サイバー攻撃の現状
まず主要なリスクの中で最も重視するものとして、 42％が「サイバー攻撃」を挙げた。犯罪行為や企業ブランドにかかわる事件、自然災害、テロを挙げる回答はいずれも20％未満で、企業が考えるリスクでは情報セキュリティを重視している様子が分かった。

過去 1年のサイバー攻撃の経験について、「一度もない」は25％だった。経験した頻度では「数回のみ」が46％で最多を占め、「時々ある」（18％）、「頻繁にある」（9％）、「非常に多い」（2％）だった。攻撃の種類別では外部からの攻撃やソーシャルエンジニアリングが多く、企業内での事例は少なかった。　被害の種類は、「顧客の個人情報の盗難」「環境の停止時間」「知的財産の盗難」「クレジットカード情報や金融情報の盗難」が32％ずつあり、金銭につながる情報が標的になっている実態が明らかになった。

サイバー攻撃で企業が被った損害について、「生産性の低下」や「収益の低下」「顧客との信頼や関係の喪失」「ブランドへのダメージ」「（謝罪などの）金銭や商品」という回答がそれぞれ 30％以上になった。また、「株価の下落」も10％あった。被害金額の平均は、ブランドへのダメージが約130万 5000ドル、情報漏えいが約113万ドル、信頼の喪失が約83万3000ドルなどである。

サイバー攻撃の被害の内訳

対策の現状
サイバー攻撃などへのセキュリティ対策について、抑制効果が高いものは「パッチや定義ファイルを最新にする」「ゲートウェイなどの周辺セキュリティ」を挙げる回答が目立つ。一方で効果が薄いと回答者がみているのは、「 DLP（情報漏えい防止）システム」「特定のセキュリティ規格の採用」「SIEM（セキュリティイベント管理）システム」などだった。

導入済み対策の現状評価について、「システム管理」「 ITポリシーの策定と実施」「インフラ保護」「情報保護」の各分野で「問題がある」「改善が必要」との回答が70％以上に及んだ。「良好である」「非常に優れている」はいずれも10％未満だった。改善点では、コスト削減やパフォーマンスの向上を挙げる回答が目立っており、94％は2010年中にセキュリティの変更を計画していると答えた。

企業に在籍するセキュリティやコンプライアンスの担当者は平均 120人。44％は人数が「1年前より増加した」と答え、54％が「今後1年間でさらに増加する」とした。「人数が減った」という回答は35％、「今後1年で減る」という回答は33％だった。人材に求めるスキルでは、「ネットワークセキュリティ」や「Webセキュリティ」「セキュリティシステムの管理」「DLP」を重視する傾向が分かった。

■5項目の傾向
また、調査では「エンドポイント」「 Web」「情報漏えい」「メッセージング」「コンプライアンス」の5項目についても現状をまとめている。

1. Windows 7 は様子見、仮想化は推進
PC やモバイル機器などのエンドポイントについて、導入済みの対策は 85 ％がマルウェア対策、 76 ％がクライアントファイアウォールを挙げる一方、不正侵入の検知は 44 ％にとどまった。また、企業ネットワークへのアクセス制御を実施しているものは、 Windows のデスクトップ PC で 92 ％、同ノート PC で 77 ％に上った。スマートフォンや Mac PC でも 50 ％近くが実施していた。

Windows 7 の導入計画では、「アップグレードを予定」「アップグレード済み」などの回答は合計で 31 ％だった。「アップグレードの予定がない」は 19 ％、残りは「アップグレードするかどうか自体の検討」「サービスパックのリリース後」で、 70 ％近くが様子見ムードであるという。また、仮想化の導入では「考えていない」との回答が 16 ％になり、大多数が導入の検討を始めていると答えていた。

2. Web への脅威は高まるが対策に遅れ
Web 資産に対する脅威の度合いは、 35 ％が「やや高い」、 23 ％が「非常に高い」と答え、今後 1 年間の変化予想でも 35 ％が「やや急速に拡大する」、 20 ％が「非常に急速に拡大する」と答えた。「どちらとも言えない」という回答は、それぞれ 27 ％と 35 ％だった。

Web 資産が過去 1 年間に受けた損害は、 92 ％が「収益の低下」、 83 ％が「生産性の低下」、 80 ％が「直接的な費用」を挙げており、金銭的な被害が目立つ。 Web 資産におけるセキュリティ対策の導入状況では、「 Web サイト監視」「侵入検知ツール」「ログ解析」の割合が高いものの、「アプリケーション固有のフィルタリング」「コードレビューの自動化」「脆弱性評価ツール」は今後導入すべき対策に挙げられていた。

3. DLP は予算が課題
情報漏えいを経験したという回答は 43 ％で、うち 20 ％は外部による不正なデータ入手、 15 ％が偶発的なデータの紛失や業務上の障害での漏えいを挙げた。情報漏えいの影響では、 55 ％が収益の低下、 46 ％が信頼喪失や直接的な費用を挙げている。

DLP の導入について、「全く考えていない」という回答は 12 ％にとどまり、それ以外は現状のセキュリティ計画を強化するなどの理由で導入に向けて動いていたり、既に導入を終えたりしている。導入を考えていない理由について、 58 ％が「十分な予算がない」、 30 ％が「さほど必要性を感じない」と答えた。 DLP 以外の導入済み対策では、 53 ％が暗号化、 51 ％がデータ分類を挙げている。

経験した情報漏えいの内容

4. ハイブリットの運用に課題
メッセージング環境について、 84 ％が自社運用型のシステムを利用し、 41 ％が SaaS 型のシステム、 37 ％が Web ベースのシステムを挙げており、自社運用型とオンラインサービス型を併用する企業が多い実態が分かった。

自社運用型のシステムは Microsoft Exchange や IBM Lotus Domino 、オンラインサービス型では企業向け Gmail や Cisco WebEx などの利用が多かった。

5. コンプライアンスのコストが増加
コンプライアンス関連では、過去 1 年間の予算の変化について「やや増加」が 38 ％、「変化なし」が 37 ％、「大幅に増加」が 18 ％だった。今後 1 年間の変化予想では「やや増加」が 39 ％、「変わらない」が 35 ％、「大幅に増加」が 20 ％だった。

ツールやシステムで監査の自動化やコスト削減に取り組んでいるのは 64 ％。 36 ％はスプレッドシートなどを使って人的対応をしていた。企業経営に影響する規制や基準では、 ISO や HIPAA 、 SOX 法関連、 CIS 、 ITIL などが目立ち、 COBIT や PCI DSS を今後重視するという回答も多い。

こうした実態に対してシマンテックは、企業のセキュリティ対策では保護すべき対象を情報を中心に考え、ライフサイクルやポリシーに基づく適切な管理手法を確実に実施していくこと、プロセスの自動化などによるコストの適正化などを実践していくことなどが望ましいと提言している。