セキュリティパッチの適用を把握していない企業は半数以上に

IPAは毎年実施しているセキュリティの被害や対策に関する調査の最新結果を公開した。

[ITmedia]

　情報処理推進機構（IPA）は1月27日、「2013年度 情報セキュリティ事象被害状況調査」の最新版報告書を公開した。企業や組織のセキュリティ対策に進展がみられるものの、取り組みが十分に進んでいない点も浮き彫りになった。

　この調査は1989年度から毎年実施しており、今回で24回目。2012年度中の情報セキュリティ事象の被害や対策に関するアンケートを行い、1881件の有効回答を得た。以下の4つのポイントが注目されるという。

1. セキュリティパッチの適用状況を確認していない割合は半数近くに
2. セキュリティ担当責任者を設置する割合が増加
3. Webサイト閲覧によるウイルス遭遇率が増加
4. モバイルセキュリティの実施は半数以下

　1つ目は、PCのセキュリティパッチの適用状況について「常に適用し、適用状況も把握」とする回答が36.0％あったが、「実際の適用状況は不明」（31.3％）や「ユーザーに任せている」（16.7％）が48.0％に上った。前回調査に比べ、常に把握している割合は約2ポイント増加したが、実際は不明という割合も約5ポイント増加しており、「適用の重要性は浸透したが、実際の状況まで見届けることまでは進んでいないことを示す」（IPA）と解説する。

セキュリティパッチ適用の有無（IPA報告書より）

　2つ目では組織内の情報セキュリティ対策の体制について、「兼務だが担当責任者を任命」する割合が前回から7ポイント増の56.6％、「組織的には行っていない」が同6.5ポイント減の14.8％だった。教育の実施状況については「役員」「正社員」「契約社員」の全てで「特に実施していない」の割合が減少していた。これらの傾向から、IPAは回答した組織内の体制整備が進展しているとみる。

　3つ目ではWeb閲覧によるウイルス遭遇率が前回に比べ約6.8ポイント増の71.5％だった。侵入経路別でみてもWeb閲覧が6.8ポイント増の63.2％、ダウンロードファイルが5ポイント増の21.5％に上った。一方で前回より減少したのはメールの51.7％（0.5ポイント減）や外部記憶媒体の38.0％（7.5ポイント減）だった。私物のUSBメモリなどの社内ネットワーク接続に関するルールでは「禁止」「届け出による許可」が合計で67.3％あったが、「禁止していない」は28.9％に上っていた。

コンピュータウイルスの侵入経路（同）

　4つ目について、モバイル端末を業務に利用している企業は前回より11.1ポイント増の40.6％だった。セキュリティ対策は「紛失・盗難時のデータ消去」が37.5％、「セキュリティソフト」が33.9％、「MDM」が30.0％。「利用ルールの策定」も45.6％で、技術面と運用面の双方で実施率が半分に満たない状況だった。

変更履歴…IPAより発表内容の修正がありましたので、訂正しています。（2014年1月29日）