過去1年間に75％の企業がサイバー被害に－シマンテック調査

調査対象の業種別割合

　株式会社シマンテックは3月25日、エンタープライズセキュリティの現状に関するグローバル調査結果を発表した。

　2010年1月に実施された電話による調査。世界27カ国（日本含む）、2100社が回答。企業規模別割合は、小規模企業（500～999人）が 37％、中規模企業（1000～4999人）が31％、大規模企業（5000人以上）が32％。CIO、CISO、IT責任者などが対象で、81％がセキュリティを選定する立場の者。

■75％の企業が過去1年間にサイバー被害に

攻撃の種類

　セキュリティリスクについて42％が、自然災害、テロ、従来の犯罪よりもサイバーリスクを懸念している。実際にサイバー攻撃を過去1年間に「1度も受けていない」としたのはわずか25％で、残り75％が何らかの攻撃を受けたことが判明。その回数が「頻繁にある」「非常に多い」とした企業も合計11％に及んでいる。

　攻撃の種類としては、「外部からの悪質な攻撃が非常に多い/やや多い」としたのが合計52％で最多。次いで「ソーシャルエンジニアリング攻撃」（合計50％）、「内部からの悪質な攻撃」（合計40％）、「内部者の意図的でない行為」（合計39％）と続く。

　受けた被害としては、「顧客の個人情報の盗難」「知的財産の盗難」「クレジットカード情報などの盗難」がいずれも32％で最多。被った損害としては、「生産性の低下」（36％）、「収益の低下」（33％）、「顧客との関係の損失」（32％）、「ブランド評価へのダメージ」（31％）などが上位。中でもブランド評価へのダメージによる被害額が最も大きく、130万ドルに達していた。

　セキュリティ対策として「非常に効果的である/やや効果的である」との回答が最も多かったのは、「パッチや定義ファイルを最新に維持する」（合計87％）、「周辺（境界）セキュリティ」（合計84％）、「認証システム」（合計77％）など。一方、認知が進み出している「DLP（情報漏えい防止）の導入」は最少で合計66％にとどまった。

被害内容	ブランド評価へのダメージによる損害額が最多	効果的な対策はパッチや定義ファイルの更新

■Webセキュリティの脅威は「やや急速に拡大する」

　GumblarやSQLインジェクションで標的となるWeb。その脅威の割合としては、23％が「非常に高い」、35％が「やや高い」と回答。今後1年間に脅威は拡大するかについても、20％が「非常に急速に拡大する」、35％が「やや急速に拡大する」と、脅威は拡大傾向にあると認識されている。

　過去に経験した損害として最も多かったのが「収益の低下」の92％。Webを攻撃されれば、ほぼ間違いなく金銭的被害に直結することが分かった。そのほか「生産性の低下」（83％）、「データの漏えい」（76％）など、Webへの攻撃からは複合的な損害を招きやすい。

　そうであるにもかかわらず、導入している対策を尋ねると「Webサイトの監視」「Webサイトの侵入検知」「Webサイトフィルタ」「ログ解析」「コードレビュー自動化」「脆弱性評価ツール」のいずれを取っても30％以下で、対策の遅れが目立っている。

Webに対する脅威の割合は「高い」	今後1年間に「脅威は拡大する」	一方で対策遅れが目立っている

■多くの企業がDLPを導入検討中

77％が情報漏えいを懸念

　セキュリティリスクで恐ろしいのは、何といっても情報漏えいだ。情報漏えいに対する不安を尋ねると「非常に心配している」が38％、「多少心配している」が39％で、「あまり心配していない」（4％）や「全く心配していない」（2％）といった“心配していない派”を大きく引き離している。

　実際に情報漏えいした企業も43％にのぼり、その原因としては「外部による不正なデータ入手」が20％、「内部による偶発的なデータ紛失」が15％、「ビジネスプロセスの障害による機密情報の流出」が15％で上位。損害としてはやはり「収益の低下」が最多で55％となっている。

　対策として期待されるDLPだが、実際に「導入完了している」のはわずか14％。しかし「導入を全く考えていない」のも12％しかおらず、ほかは「初期の検討段階」（21％）、「計画中」（25％）、「試用段階」（11％）、「導入中」（18％）と多くが前向きなステータスにあるようだ。

　導入した理由については「現状のセキュリティプログラムを強化したい」が23％で最多。「以前に情報漏えいが発生した」（19％）という“やむを得ず”の理由を上回った。

　一方、「導入を全く考えていない」12％の企業にその理由を尋ねると、「十分な予算がない」が58％と飛び抜けている。「さほど必要性を感じない」（30％）や「十分な知識や技術がない」（27％）といった回答もあるが、一番の課題はコストの壁と言えそうだ。

DLPの導入状況。多くが前向きのステータスにある	DLPを導入した理由。最多は「セキュリティプログラムの強化」	DLPを導入しない理由。最多は「十分な予算がない」

■コンプライアンスの予算も増加傾向

　コンプライアンスに関しては、多くの規格やフレームワークがあるが、いずれも対応/非対応が半々といったところ。対応するために「ソフトなどで自動化している」としたのが64％と、対応の仕組みも考慮されている。

　コンプライアンスの予算が、過去1年間でどうなったかについては、「大幅に増加した」という回答こそ18％と少ないが、「やや増加した」が38％と最多で、合計すれば56％が増加傾向にあると見ている。2010年度も「大幅に増加する」（20％）と「やや増加する」（39％）の両回答で割合が増えており、今後ますます重要度が上がっていくものと思われる。

■シマンテックからの4つの提言

　これら調査結果を踏まえて、シマンテックでは「インフラの保護」「情報の保護」「ITポリシーの策定・実施」「システム管理」を提言する。

　インフラの保護では、エンドポイント・メール・Webの保護、クリティカルな内部サーバーの防御、データのバックアップ＆リカバリを推奨。情報の保護では、機密情報の保存場所を検出し、データの使用状況を監視した上で、漏えいを防止せよとしている。またITポリシーについては、リスクを明確にして策定し、継続的なアセスメントや問題を修復する仕組みを整えることと提言。システム管理では、安全な動作環境を実現するため、パッチレベルの配信や強制適用を検討し、かつ効率改善のためのプロセス自動化やシステム状況の監視を行うようにとした。