総務省は、民間企業・地方公共団体などを対象とした、情報セキュリティ対策の実施状況等に関するアンケート調査の結果を発表した。それによれば、ファイヤーウォール、アンチウィルスソフトの導入は米国と同程度の水準に達しているものの、IDS(不正アクセス検知)など、より高度な対策については、米国より大きく遅れている実態が浮き彫りになった。

この調査は、同省が「情報セキュリティ関連施策の展開」や「電子政府・電子自治体の情報セキュリティ確保」などの資料とすることを目的として、2002年2月22日から3月15日にかけて行われた。アンケートは、民間企業2,063社、地方公共団体300団体、病院300団体、大学300団体、その他学術・研究機関114団体に対し郵送留置法によって実施され、このうち、民間企業541社、地方公共団体172団体、病院109団体、大学175団体、その他学術・研究機関70団体から回答があり、その結果をまとめた。

以降、調査結果を抜粋して紹介すると、まず、何らかの被害を受けた侵害事案の発生実態に関して、60.3%の民間企業が「発生した」と回答。内訳では「ウィルス・ワームの感染」が96.0%と群を抜いており、さらに「スパムメールの踏み台」15.6%、「DoS攻撃」7.1%、「Web上でのクレーム・誹謗中傷」5.5%、「HPの改竄」4.9%、「情報漏洩」4.6%と続いている。また、ともに0.3%と数は少ないものの、「ファイル・データベースの改竄」「システム破壊・サーバーダウン」といった深刻なものも発生している。また、民間企業以外では、72.6%の大学が「発生した」としており、「スパムメールの踏み台」36.2%、「HPの改竄」21.3%などの値が、相対的に高い数値なのが特徴となっている。「システム破壊・サーバーダウン」も6.3%と高くなっており、被害を受けやすい実態が見て取れる結果となった。

セキュリティ管理の体制については、民間企業で何らかの形でセキュリティ管理の特別な組織・チームを設置しているのは全体の23.9%に留まっており、専従のセキュリティ担当者を設置している企業は僅か8.3%となっている。それ以外では、情報システムの運用管理者がセキュリティ管理を兼務している企業が85.1%と多数で、4.6%の企業では驚くことにセキュリティ担当者が存在していないなど、体制面での取り組みの遅れが目立つ。

ウィルス対策の調査では、民間企業の99.6%が何らかの対策を施しており、蔓延するウィルス被害に堅実に対処していると評価。「クライアント用のアンチウィルスソフト」が95.2%と高いほか、「サーバー用アンチウィルスソフト」も81.5%と相対的に高い数値となっており、クライアント側での対処に限界があるという認識がうかがえる。それに対し、地方公共団体、大学、その他学術・研究機関などでも同様にほぼ100%ウィルス対策が実施されているが、病院では何も実施していない団体が15.6%も存在しており、ウィルス被害の危険性を指摘している。

一方、外部からの不正アクセス対策は、86.9%の「ファイヤーウォール」を中心として、97.8%の民間企業で何らかの対策がとられている。次いで、「ルータ」が71.9%、「PROXYサーバー」が61.7%となっているが、より安全性の高い「VPN経由でのアクセスに限定」を採用しているのは19.8%に留まっている。基本的な対策の実施率は高いものの、それ以外の対策をみると、「IDS」17.6%、「(疑似アタックなどの)脆弱性アセスメント」13.5%、「DoS攻撃回避ツール」5.7%と軒並み低い数字となっている。民間企業以外では、ここでも病院の実施率が60.5%と大幅に低く、「ファイヤーウォール」35.8%などを始めとし、対策の遅れが指摘されている。

セキュリティポリシーの策定に関しては、民間企業の28.5%が「既に策定している」、そして20.5%が「策定作業中」としており、39.6%の「策定を検討中」も含めると、着実に進んでいる様子が分かる。策定していない理由については、「知識・ノウハウがない」48.3%、「重要性に対する認識がない」28.8%と続くが、「必要性を感じない」8.9%、「社員のモラルが徹底しているので問題が生じる心配がない」5.9%という、依然として甘い認識の企業もあった。地方公共団体では、「既に策定している」と「策定作業中」を合わせても30%以下だが、67.4%が「策定を検討中」となっており、セキュリティポリシーに対する関心は高い。しかし、「策定する予定もない」が44.0%の病院、38.6%のその他学術・研究機関など、組織形態によってバラ付きのある実態が明らかになった。

今後の対策として導入を検討しているものとしては、「データ・電子メールの暗号化」「セキュリティポリシーの策定」「社員教育」が民間企業でともに41.8%と高く、「IDS」35.1%、「メール・Webフィルタリング」29.2%、「VPN機器」28.5%、「ログ解析」27.2%と続く。それに対し、地方公共団体、大学では「セキュリティポリシーの策定」「社員教育」が圧倒的に高く、病院、その他学術・研究機関では「アンチウィルスソフト」「社員教育」が相対的に高いという結果となった。

全体として、今回の調査ではセキュリティに関する認識が低いという結果となったが、今回の調査では、民間企業は東証一部・二部上場企業、地方公共団体は政令指定都市・市と、比較的大きな組織を対象としている。中小企業や町・村などの、比較的小さな組織ではさらに低水準となることも予想され、同省でも今後、中小企業などに対して同様の調査を行い、民間企業全体としての情報セキュリティ対策の実施状況を取りまとめるとしている。

最後に、政府・地方公共団体の支援施策に関する調査結果を紹介すると、民間企業では「侵害事案を取り締まる法制度の整備」が70.1%と高く、次いで「セキュリティサービス利用への助成」36.4%、「機器・ソフトウェア購入への助成」32.2%となっている。これに関しては、地方公共団体、病院、大学でも、ほぼ同様の結果となっている。

米国セキュリティ最新事情 - 米Symantecの市場調査と分析の責任者が語る
http://pcweb.mycom.co.jp/news/2002/01/15/12.html

IPA、2001年のウイルス被害状況を総括 - キーはセキュリティホールと初心者
http://pcweb.mycom.co.jp/news/2001/12/18/06.html

総務省
http://www.soumu.go.jp/