ノートPC管理の責任は従業員に、でもトレーニングはなし……ウェブセンス調査

[ITmedia]

　ウイルス対策には自信がある。しかし、フィッシングやスパイウェアといった新しいタイプの脅威への対策は遅れているし、個人情報保護法を踏まえた明文化された規定の整備もまだまだ――ウェブセンス・ジャパンが公表した調査結果からは、こんな企業の実態が浮かび上がってくる。

　ウェブセンス・ジャパンは4月28日、「職場でのインターネットセキュリティ対策と実態に関する調査」の結果を公表した。この調査は3月24日から26日にかけて、インターネット経由で実施されたもので、一般従業員1030名、IT管理者1031名から回答が得られた。

　セキュリティ対策の導入状況については、IT管理者のうちアンチウイルスソフトを導入していると回答したのは95.2％、ファイアウォールは89.2％に上った。またIT管理者のうち73.1％は「自社で導入しているアンチウイルス・ソフトによるネットワーク防御に自信を持っている」と回答したという。

　だが一方で、65.3％が「ウイルスに感染したことがある」とも回答した。これを踏まえウェブセンスは「既存の対策では十分ではない現状がうかがえる」としている。

　なお、URLフィルタリングソフト（46％）やIDS（32.9％）、アプリケーション起動管理ソフト（27.9％）といった他のセキュリティ対策となると、導入率は半数以下にとどまっている。

　日本でも詐欺メールが出回り始めているフィッシング詐欺だが、金融機関の従業員のうち「フィッシング」という言葉について、「内容まで詳しく知っている」と回答したのは29.9％、「少しだけ内容を知っている」としたのは22.6％にとどまった。またスパイウェアについては、「侵入されたことがある」としたのは14.6％にとどまったものの、「侵入されたかどうかわからない」という回答が35％に上った。

　こうした新しいタイプの脅威については、ウイルスやスパムメールといった脅威に比べて認知率が低いのもさることながら、対策システムの導入率も低いという。スパイウェア対策システムの導入率は52.3％、フィッシング対策となると32.1％にとどまった（ただ、ここで言う「フィッシング対策」が、具体的にどういった手段を指しているかは明らかにされていない）。

　この調査でもう1つ明らかになったのは、個人情報保護法への対応の遅れだ。

　まず、情報システムに関するコンプライアンスプログラム（法令遵守基本規定）の有無について尋ねたところ、「ある」としたのは44.4％。そもそも規定の有無が「わからない」という回答は28.4％という。

　また、IT管理者のうち74.8％が「業務用ノートパソコンの管理責任は使用者本人にある」と回答しているにもかかわらず、企業として従業員にもセキュリティトレーニングを実施しているという回答は33.2％、管理者を含めても47.8％にとどまった。

　ウェブセンスは、このように従業員が自己責任を負えるだけのトレーニングが設けられていない実態は「いかに管理がずさんであるかを示すもの」と指摘。個人情報保護法への対応が遅れている現実が浮かび上がったとしている。