総務省がまとめた、上場企業(東証一部・二部)、地方公共団体、大学などの情報セキュリティ対策に関する実態調査報告書によれば、全般的にセキュリティに対する意識は高まりつつあるものの、対策は依然として低い水準であることが明らかになった。無線LANでは、導入企業の14%が何も対策を行っていないほか、専任のセキュリティ担当者は3%の企業にしか存在しないなど、対策についてはまだまだ発展途上と言える。

調査は、民間上場企業(2,087社)、地方自治体・病院・大学(合計で300団体)、研究機関(100団体)を対象に、2月から3月にかけて行った。回収率は上場企業の21%、自治体の60%などとなっており、業務基幹システムの管理者が回答した。同様の調査は今回が3回目で、2001年と2002年にも実施された。

結果によればセキュリティに関して、特別な組織やチームを編成している上場企業は約23%だった。専任のセキュリティ担当者を置いているのは3%で、8割以上が、システム管理者がセキュリティ管理も兼任していた。組織も担当者もいない企業は約5%だった。社員教育についても芳しくなく、資料の配付・回覧は約37%だったが、全社員を対象にした集合研修は約8%の実施率にとどまった。

ただし投資金額は100万～500万円未満が34.2%、1,000万～5,000万円未満が18.7%となっており、意識の高さはうかがえた。なお、セキュリティ投資を行っていない企業は7.1%だった。

セキュリティ意識に関する端的な例としては無線LANが挙げられていた。無線LANは、上場企業で約5割が導入、全社的には4.8%が利用していた。しかしそのうち、約70%が何らかの対策を行っているものの、14%が全く対策を行っていなかった。無線LANは情報漏えいなどの危険が指摘されており、セキュリティ対策は必須とされている。実際74.2%の企業がセキュリティ上の不安から導入を見送っていた。

実際の被害については、上場企業の約61%が過去1年間に何らかの被害にあっている。ほとんどがウイルス・ワームの感染で、スパム(迷惑メール)の不正中継・踏み台、DoS攻撃と続く。ウイルス・ワームの被害については1年間で3件以上の被害にあった企業が44.1%となっている点も特徴的だった。また、被害にあっても、多くの企業がIPAやJPCERT/CCに届け出ていなかった。

過去1年間の侵害事案の発生有無

なお、ウイルス対策ソフトは、9割以上でクライアントPCに導入されており、定義ファイルの更新は多くが自動で更新されるようになっていたが、ウイルス対策として重要視されているOSのパッチ適用については、「社員自ら行う」という回答が最も多く、更新忘れや遅れによる被害もあり得そうだ。気になるところでは、大学において、職員に対するウイルス対策に関する啓蒙・教育を実施していない理由で「予算が取れない」「トップの理解が得られない」という回答が比較的多かった点。ウイルス対策に関して現場と経営陣の間にある考え方の違いが浮き彫りになっていた。

不正アクセス対策は、9割の企業でファイアウォールが導入されていた。ただし、クライアントPCにソフトウェアファイアウォールを導入していたのは1割程度だった。同様の対策に電子認証関連のサービスや技術があるが、これについてはほとんどの企業が導入しておらず、ワンタイムパスワードとICカード/トークンデバイス型認証ツールが約20%ずつと、比較的導入されていた。

昨今話題になることが多い個人情報保護については、56.6%の企業でそれぞれの部署が管理していた。対策を行っていない企業も多く、総務省は「非常に問題であり、改善を行う必要がある」と指摘する。組織・制度面、システム・技術面で、それぞれ37.2%、41.8%の企業が対策を行っていなかった。内部犯行による情報漏えいについては、「メールの監視」「Webコンテンツの管理・アクセス制限」「サーバールームなどへの立ち入り制限」といったあたりが多く行われている対策だった。

セキュリティポリシーは最近1年以内の策定企業が多く、31.2%が策定していた。ただ、策定していない企業の半数が「策定するための知識・ノウハウがない」点を理由に挙げており、この辺りが改善されれば、ポリシー策定企業の増加も期待できる。

セキュリティポリシーの策定有無。前回調査に比べ約7ポイント伸びた

なお、報告ではセキュリティ被害における復旧処理コストを試算しており、昨年1年間では、上場企業全2,087社(2003年11月4日現在)で、約12億2,200万円がかかったと見積もられた。