ニュース
2004/04/27 22:08 更新


対策ソフトを入れただけで満足? IPAがウイルス被害状況調査を公表

IPAは4月27日、「国内・海外におけるコンピュータウイルス被害状況調査」と「被害額推計」の結果をまとめ、公開した。

 情報処理推進機構(IPA)は4月27日、「国内・海外におけるコンピュータウイルス被害状況調査」と「被害額推計」の結果をまとめ、公開した。この結果を見ると、ウイルスへの遭遇経験や、独自の推計に基づくウイルス被害総額は、数字の上でこそ減少を見せているが、いまだ高い水準にとどまっていることが明らかだ。

 この調査は、日本国内および米国、ドイツ、韓国、台湾、オーストラリアの各国において、ウイルス遭遇(発見もしくは感染)の有無や対策状況について調べたもの。国内では663事業所/465自治体から1128件の有効回答が、また海外各国ではおおむね500件強の回答が得られた。この結果を過去の回答と、また他国と比較してみると、昨年の日本のウイルス被害/対策の特徴がおぼろげながら浮かび上がってくる。

過去との比較

 昨年はSlammer、MSBlast(Blaster)、Nachi(Welchia)と、メディアを大きく騒がせたウイルスが続々と登場した。だが、ウイルス遭遇経験の有無を尋ねた設問では、「あり」という回答は2002年の80.3%から70%へと、若干減少している。

 この理由として、IPAセキュリティセンター長の早貸淳子氏は、「ウイルス対策のアウトソーシングが進んだ結果、事業者自身がそれと認識しないうちに、ウイルスが駆除、対策されるケースが増えたからでは」と推測している。

 ただ、遭遇したウイルスの種類を尋ねた質問では、「5種類以上」という回答が39.8%で最多を占めた。遭遇するウイルスの種類は、過去4年間増加の傾向にある。これには、新種のウイルスが続々と発生していることもあるだろうが、「ずっと以前に発生したウイルスが駆除されないままになっているケースも相当数含まれるのでは」(早貸氏)という。

 また被害額推計調査においては、各種の補償や風評被害といった二次被害を除いた直接的な被害――システム停止にともない逸失利益やシステム復旧に要するコストなど――を算出するモデルを立て、これに沿って、ウイルス感染時の1事業所あたりの被害額を27万8678円と算出。これに被害の発生割合と事業所数を掛け合わせ、国内の被害総額推計をはじき出したところ、約3025億円という数値になった。

 これは、昨年の約4400億円に比べると大きく減少した。この要因として早貸氏は、「Blasterなどの騒ぎによって各事業所における対策が進んだ結果」ではないかと述べている。ただそれでも、3000億円以上の被害が生じていることに変わりはない。

他国との比較

 他国の調査結果との比較からは、国内事業者のウイルス対策の進んでいる部分と、これから検討が必要な部分が見えてくる。

 その1つが、感染/発見経路についての質問だ。日本の場合、第1位に挙がったのは他国同様「電子メール」経由だが、第2位は「外部媒体/持込パソコン」となっている点に特徴がある。他国では数%に過ぎないのに、日本ではこの回答が15.8%に上った。逆に、ダウンロードしたファイル経由での感染は、他国は軒並み二桁の数値となったのに対し、日本はわずか1.8%にとどまっている。

 これを踏まえて早貸氏は、「ダウンロードしたファイルに対するチェックの意識は高いのに、持ち込みPCや外部媒体に対しては脇が甘い」とコメントしている。

 また、クライアントへのウイルス対策ソフトの導入状況は、米国(88.9%)、オーストラリア(83.8%)に次いで70.4%という高い数値を示したのに対し、ウイルス対策の管理体制となると「行っていない」が31.5%にのぼり、韓国と並んで突出している。また、ウイルス対策に関するユーザー教育について尋ねた設問でも、米国やオーストラリアの熱心さと対照的に、「情報を入手して配布している」が48.7%、「特に実施していない」は43.5%となっている。

 こうして見ると、とりあえずウイルス対策ソフトウェアは導入したものの、組織としての管理、運用や教育にまでは手が回っていない状況が浮かび上がってくる。端的に言えば、ソフトを「入れただけ」で満足してしまい、ポリシーの確認やアップデートといったその後の継続的な取り組みが行われていないのではないか、という疑問も浮かんでくる。

脆弱性情報流通に向けて

 なおIPAはこの日、今後の事業運営内容についての説明も行っている。

 IPAは4月6日に、「情報システム等の脆弱性情報の取扱いに関する研究会」報告書を公表し、脆弱性情報の流通と対応情報の公開に関する枠組みについて提言を行った(4月6日の記事参照)。ここでIPAは、脆弱性情報の受付とともに、その内容について検証・分析も行うことになっているが、後者の作業を担うのが1月に立ち上げられた「情報セキュリティ技術ラボラトリー」だ。

 同ラボラトリーでは、脆弱性そのものに関する検証や攻撃手法に関する検証、危険性や影響範囲の調査に加え、脆弱性の有無を確認するためのテストツールの提供といった業務を行う。脆弱性情報は、その多くが海外発のものに依存していることを踏まえ、日本語環境での検証、調査に力を入れていくということだ。7月をめどに脆弱性情報の届出スキームが動き出すことをにらみ、それまでに分析業務に必要な体制を整備していくほか、ベンダーと連携しながら脆弱性情報データベースを構築するための手順作りに取り組んでいく。

 なおIPAでは並行して、ウイルス/不正アクセスに関する届出の仕組みも改良し、Web上で届出を行えるような仕組みを構築し、夏以降、志向運用を開始する計画という。

関連記事
▼脆弱性情報の告知・公開のルール作りが前進

関連リンク
▼情報処理推進機構

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.