IT担当者の新たな懸念はモバイル化やコンシューマー化、Symantec調べ

企業に対するサイバー攻撃の脅威はやや度合いが低下したものの、脅威をもたらす範囲が広がる傾向を懸念するIT担当者の意識が浮き彫りになった。

[國谷武史，ITmedia]

　米Symantecは、企業のサイバーセキュリティ対策の現状を調べた年次調査報告書「2011 State of Security Survey Report」を公開し、企業のIT担当者がセキュリティ脅威の発生源の拡大を懸念していることが分かったと伝えた。

　それによると、過去12カ月に攻撃を受けた組織は、2010年の75％から2011年は71％に、「攻撃の頻度が増している」と答えた回答者は29％から21％に、「サイバー攻撃で損害を受けた」との回答は100％から92％にそれぞれ減少した。

　懸念するリスクでは、「サイバー攻撃」「悪意のない内部関係者によるITインシデント」「内部で発生するIT関連脅威」が上位を占め、対策の難度を上げている要因については「モバイルコンピュー

ティング」（47％）、「ソーシャルメディア」（46％）、「ITのコンシューマー化」（45％）であった。「ハッカー」（49％）や「悪意のない内部関係者」（46％）など従来型のリスクや、標的型攻撃を懸念する傾向も強かった。

　攻撃経路の上位3件は「悪意のあるコード」「ソーシャルエンジニアリング」「外部からの悪意のある攻撃」であり、いずれも悪用される頻度が非常に高まっている経路だった。

　サイバー攻撃によって損害を受けた企業は92％に及ぶ。損害の種類の上位3件は「ダウンタイム」「従業員の個人情報の盗難」「知的財産の盗難」で、これらの84％が「生産性」「収益」「組織・顧客・従業員データの喪失」「ブランド価値（評判）」の損害につながっていた。

　サイバー攻撃によって10万ドル以上の損害を受けたという企業は、従業員数1000人未満の企業では20％に上り、同5000人以上の企業では上位の20％が27万1000ドル以上の損害を受けていたという。

　セキュリティ対策のポイントとして、同社は以下のアドバストを挙げる。

• リスクに応じて優先順位を決め、ITポリシーを作成・実施する
• 情報の保護にはコンテンツを意識したアプローチを取る
• アクセスを制御するために組織全体を通じてユーザー、サイト、デバイスのIDを確認し、保護する
• 安全な運用環境の実装、パッチレベルの配布と強化、プロセス自動化による効率性向上、システム状況の監視報告といった手段を活用する
• 全てのエンドポイントのメッセージングやWeb環境の安全性を保つ

　調査は、Applied Researchに委託して4〜5月に36カ国の企業のIT担当者に電話でアンケートを行い、3300件の回答を分析した。