IPAは19日、2008年の「国内における情報セキュリティ事象被害状況調査」を公開した。調査は全国の1万企業および1000自治体を対象に郵送によるアンケート形式で行われ、回収数は企業1907、自治体410だった。
■ウイルス遭遇、感染率が6年ぶりに増加~多くはUSB経由で感染
ウイルス遭遇、感染率は、2002年をピークに横ばいから減少傾向にあったが、2008年のウイルス遭遇率は60.9%(2007年は58.2%)、感染率は15.8%(2007年は12.4%)で、ともに増加した。感染したウイルスで最も多かったのは「W32/Autorun」(39.5%)、次いで「W32/Netsky」(6.8%)、「W32/Mydoom」(3.3%)と続く。感染経路で最も多かったのが「外部媒体、持ち込みクライアント(パソコン)」で40.9%、次いで「インターネット接続」(20.2%)、「電子メール」(10.4%)となっている。
2008年はUSBメモリなど外部媒体を介して感染する「W32/Autorun」の被害が大きかったことがうかがえる。
■外部公開サーバーへのパッチ適用を計画的に行っている企業は半数以下
サーバーに対するセキュリティパッチの適用についての調査では、「ほぼ全サーバーに計画的に適用している」と回答したのは、300人以上の企業のうち51.1%、300人未満の企業の場合は35.8%だった。「一部のサーバーには計画的に適用、ほかは気づいたら適用」と回答したのは300人以上企業が12.3%、300人未満企業が11.5%だった。一方、「ほとんど適用していない」と回答したのが、300人以上企業で14.3%、300人未満企業で15.5%にのぼった。パッチを適用しない理由については、「パッチの適用が悪影響をおよぼすリスクを避けるため」が最も多く、「パッチを適用しなくても問題ないと判断した」などが続く。
外部公開サーバーへのセキュリティパッチの適用をしていない企業が15%にものぼることが判明し、その理由からはセキュリティパッチの重要性を十分に理解していないことがうかがえる。サーバー側でセキュリティ対策を行わなければ防ぎきれない攻撃も増えており、ユーザーも「企業のHPだから安心」と思わずに注意したほうがよさそうだ。
■P2Pによる情報漏えいは減少
ファイル共有ソフト(P2P)による情報漏えいの経験があると回答した企業は1.4%で、2007年の2.2%より減少した。一方、情報漏えいに対する対応のべ人日は、「16人・日以上」が28.1%で最も多く、次いで「11~15人・日」が18.8%、「6~10人・日」が15.6%と続いた。
P2P情報流出は以前に比べて減少傾向にあり、P2Pによる情報流出が社会問題化したことで、企業の意識が向上し、対策が進んだためと考えられる。
(2009/05/25 ネットセキュリティニュース)
■「2008年 国内における情報セキュリティ事象被害状況調査」報告書を公開(IPA)
http://www.ipa.go.jp/security/fy20/reports/isec-survey/index.html