企業の情報セキュリティ事象では内部不正やモバイルに課題

IPAでは2011年度に情報セキュリティ事象で発生した企業での被害状況を取りまとめている。

[ITmedia]

　情報処理推進機構（IPA）は、「2011年度 情報セキュリティ事象被害状況調査」の報告書を公開した。回答のあった1767件について、2011年度における情報セキュリティ対策とコンピュータウイルスやサイバー攻撃、内部者の不正による被害状況を取りまとめている。

コンピュータウイルス

　コンピュータウイルスの遭遇率（発見または感染）は、前年度比19.3ポイント増の68.4％。近年は減少傾向にあったもの、2011年度は2003〜2005年度と同等の水準に上昇した。このうち「感染した」の割合は3.4％増の16.9％で、遭遇率全体に比べると低かった。遭遇率が急増した要因は分からないとしている。

2011年度のコンピュータウイルス遭遇（感染または発見）の経験（出典：IPA）

　ウイルスの侵入経路ではインターネット接続（56.4％）や電子メール（52.2％）が多く、2010年度のトップだったUSBメモリなどの外部記録媒体は、約10ポイント低下して45.5％だった。外部記録媒体の対策が進んだものの、Web閲覧やメールが引き続きウイルス感染のリスクになっている実態が分かったという。

内部不正

　業務委託先などを含む内部者の不正で被害に遭った回答企業は23社だった。被害内容では技術や製品、サービス関連の情報漏えい（39.1％）や、個人情報を含む顧客情報の漏えい（34.8％）が目立っている。

　被害につながった原因としては、情報管理ルールの不備が30.4％、人事や処遇への不満が26.1％、重要情報に対するアクセス権限不備が21.7％だったが、「その他」が43.5％で最も多い。

内部不正に起因する被害が起きた原因（同）

　内訳では「退職者がUSBメモリにデータを保存して持ち出した」「自宅に資料を持ち出し、Winnyを利用」といったデータの持ち出しに関するもの、また、「本人の不注意（悪意は無し）」「業務効率化を理由にルールを無視」「無意識にブログへ書き込み」などの個人の意識やモラルに関するものに大別されるという。

　被害の影響については、「自社の経営や事業に影響を及ぼす」「取引先や関係者に影響を及ぼす」などビジネスへの深刻な影響を懸念する回答が多数だった。

モバイルセキュリティ

　スマートフォンやタブレット端末のセキュリティ対策の実施率は、前年度に比べて全ての回答項目で上昇した。特にセキュリティソフトは9.2ポイント増の35.6％、MDM（モバイルデバイス管理）は9.8ポイント増の25.5％と高かった。

　しかし、項目別では端末のパスワード設定の実施率が73.8％に達したものの、それ以外の実施率は全て40％を切っていた。対策は進みつつあるが、まだ低い水準にあり、PCと同様のセキュリティ対策が求められるとしている。

スマートフォンやタブレット端末で実施している対策（同）