独立行政法人 情報処理推進機構(IPA)は4月17日、最新の情報セキュリティ関連の被害実態及び対策の実施状況などを把握するために毎年行っているアンケート調査をまとめ、「2007年 国内における情報セキュリティ事象被害状況調査」として公表した。 本調査は、1989年度から毎年行っており今回で19回目。全国の10,000企業及び1,000自治体を調査対象として実施し、回収数は企業1,859、自治体421。併せて、07年に発生した不正アクセスやWinnyなどの共有ソフトによる具体的な漏洩被害を把握するため、被害を公表している企業にヒアリング調査も行っている。 アンケートによると、クライアントPCのセキュリティ対策では、ウイルス対策ソフトなどを9割以上のPCに導入している組織が90.7%(06年90.3%、05年86.4%)と9割を超えており、初歩的なセキュリティ対策についてはほぼ一般化し、常識になったといえる。また、情報セキュリティ対策の組織的な管理状況では、「専門部署がある」という回答が05年29.3%、06年26.9%から、07年は23.2%とさらに減少。その反面、「兼務だが担当責任者が任命されている」の回答が05年44.4%から、06年50.0%、07年53.6%と増加傾向にあり、専門部署を設けるのではなく、兼務としている組織が増えていることが数字からうかがえる。 不正アクセスのヒアリングの事例では、休日や夜間といった時間帯を狙われたり、複数のサービスを提供する企業の比較的規模の小さいサービスが狙われたりすることにより発覚が遅れるケースなどを紹介。ヒアリングを行った計4社について、再発防止など一連の対応を基に被害額を推計した結果、発生した費用は1社あたり約700万円から6,000万円といった規模になると報告している。また共有ソフトによる漏洩のヒアリング事例では、業務情報の持ち出しルールが徹底される前に持ち出された情報が、Winnyの利用を契機に漏洩したケースなどをとりあげ、個人情報を削除するツールを社員に配布するなどの対策を呼びかけている。こうしたケースによる被害額の推計は、1社あたり約70万円から700万円になるという。 http://www.ipa.go.jp/security/fy19/reports/isec-survey/press.html
