|
IPAセキュリティセンター長の三角育生氏
|
|
ウイルスによるシステム停止
|
|
不正アクセス(SQLインジェクション)
|
独立行政法人情報処理推進機構(IPA)は11月29日、「企業における情報セキュリティ事象被害額調査」および「国内におけるコンピュータウイルス被害状況調査」(2005年)を実施、その報告書を公開したと発表した。これは、最新のコンピュータウイルス関係の被害実態や対策の実施状況を把握し、コンピュータウイルス対策を推し進めようというもの。
調査方法は、コンピュータウイルス被害に関しては5500社の企業あてにアンケートを送付し、有効回答があった1206社(21.9%)のデータをもとにモデル推計を実施。また、不正アクセス(SQLインジェクション)およびWinnyを介した情報漏えい被害については、内容から回答を引き出すための困難さが予測されるため10社を対象にヒアリングを行った。
まず、「企業における情報セキュリティ事象被害額調査」は、ウイルスや不正アクセス、情報漏えいなど情報セキュリティ事象発生の場合、被害額がどれほどに達するものか、を調査している。実はIPAでは、これをウイルス被害額算出モデル研究会(委員長:元橋一之東京大学大学院工学系研究科教授)による推計モデル(復旧に要したコストや、ウイルス被害による逸失売上げなどで構成)をベースに積算した。
それによると、ウイルスの影響でシステムが停止した場合、1社あたり中小企業で約430万円、大手・中堅企業で約1億3000万円であった。これは、ウイルス被害による直接の復旧コストはそれほど大きくはないものの、いったん電子商取引システムや重要システムが停止してしまえば大きな売上減が想定されるというものだ。なお回答した1206社のうち、復旧コスト発生があった企業数は、中小企業が95社、大手・中堅企業が110社、また売上減のあった企業数は中小企業が35社、大手・中堅企業が46社であったという。
次に不正アクセス(SQLインジェクション)は、復旧対策として、システム再構築関連がWebアプリケーション改修や第三者によるセキュリティ検査などで4800万~1億円、事象対応社内人件費が組織トップを含めた専門対応チーム設置などで180万~360万円であった。また対外経費が顧客への謝罪や問い合わせ窓口設置、補償などで数百万~5000万円となった。こうした対策経費自体で総額1億円を超えるケースが複数件あり、売上減は、数カ月間の閉鎖で数億~数十億円に及んだという。
なお不正アクセスに向けた対策は、すべての復旧作業や対外説明終了後、社内のセキュリティ対策部署を新設強化するなどで臨んでいる。
|
Winnyを介した情報漏えい
|
さらにもう一つ注目されるWinnyを介した情報漏えいであるが、被害状況の調査関係として、漏えいしたデータ分析が社員数十名で対応した人件費などで90万~180万円、流出元となったPC調査やWinnyネットワークでの拡散状況調査が専門業者による調査費用などで500万~600万円、対外説明として問い合わせ窓口などが顧客への謝罪対応も含めて45万~1600万円であった。以上、人件費・外注費で総額2000万円を超えるケースもあったという。
この再発防止策は、全社員対象に、自宅PCに業務データが保存されていないかのチェック、情報持ち出しルールの再徹底、Winnyなどファイル交換ソフトの使用自粛や禁止の通知発信などで臨んでいる。
「国内におけるコンピュータウイルス被害状況調査」は、たとえばクライアントPCへのウイルス対策ソフト導入が2004年73.8%が2005年86.4%と改善をみせた。しかし、セキュリティパッチ適用状況は最新、定期的、気がついたときなどすべてを含めてとにかく適用するが2004年74.6%から2005年84.2%にはアップしたもののまだ6分の1の事業所がほとんど適用していない結果で、問題を残した。ウイルス対策の組織的な管理状況は、専任・兼任含めて事業所内に専門部署が設置されているのは70%を超え、さらに外部委託を含めれば前年の65.7%から80.6%と大幅に改善された。なおスパイウェアの被害状況は侵入や実行はなく発見もしなかったが66.6%と3分の2ではあるが、対策ツールが6.2%と10%にも到っていない状況、あるいはスパイウェアが見つからないよう潜んでいる性質も含めて考えあわせると、侵入しているが気づかないこともありうるという。
今回の調査では、「自分たちはすでに対策は行っている、忙しいから勘弁してほしい」など、事業所に向けたヒアリングなどではIPAも結構苦労はしたようだ。だが、IPAセキュリティセンター長の三角育生氏は「今回お答えいただいた事業所では現実の被害に直面してもう懲りた、というところが多い。だから新たな対策も打ってきている。すべての事業所が今回の結果をみて、自らが対策を講ずる意欲をもっていただけると幸い」と警鐘をこめてアドバイスする。
■ URL
独立行政法人情報処理推進機構(IPA)
http://www.ipa.go.jp/
調査結果
http://www.ipa.go.jp/security/fy17/reports/virus-survey/
( 真実井 宣崇 )
2006/11/29 18:58
|