米国における情報セキュリティの動き　＜第2回＞　― CSI報告をベースに ―

米国におけるセキュリティ関連の行政府、企業等の現状調査として定評のあるCSI(Computer Crime and Security Survey)の調査報告（2007年版）から、第1回に引き続きその特徴的な調査結果を解説します。

特集特集

2008年6月17日（火） 16時30分

米国におけるセキュリティ関連の行政府、企業等の現状調査として定評のあるCSI(Computer Crime and Security Survey)の調査報告（2007年版）から、第1回に引き続きその特徴的な調査結果を解説します。

CSI調査報告書の入手サイト：
http://www.gocsi.com/forms/csi_survey.jhtml

【1】インシデントの発生状況

（1）インシデントの発生認識

企業のインシデント発生認識件数はCSI調査報告から見ると年々少なくなっています（2005年56%、2006年52%、2007年46%でピークは2000年の70%）。

一方インシデントが発生したと認識する組織については、10件未満の発生と認識するところが50%ですが、10件以上のインシデントが発生したと認識する組織が2006年の9%から2007年は26%に増加していることが特徴的です。内部統制の進展やセキュリティ対策の整備から、今まで認識できなかったインシデントが認識できるようになっているからだと考えられます。

他の調査でも全体的に企業等への攻撃は減少しつつあるようですが、Webサイトへの攻撃、ID詐取など、エンドポイントにおけるユーザへの攻撃や不正が増加しています。最近では、Webサイトを閲覧するだけでウイルスに感染する例もでてきています。

CSIの調査では、エンドポイントに於けるこうした顧客の被害については今まで調査対象としてきませんでしたが、次回からは対象にするようです。

（2）インシデントの発生種別

＜内部者による不正＞

64%の組織で内部不正が起因した損失の発生を報告していますが、昨年は68%であったので、大きな変化はないようです。内部者による不正件数は相変わらず多く、今まで1位を占めていたウイルスの発生件数が2位に下がり、内部者によるネットワーク等への不正アクセス件数が2位から初めて1位になっています。

＜Webサイトへの攻撃が増加＞

全体としてインシデントの発生頻度については、減少傾向にあるものの、ネットワークリソースの悪用は42%から59%とジャンプし、ラップトップやモバイル機器の盗難も毎年増える傾向を示しています（昨年報告47%から今回の報告50%）。また金融関係の不正、システムへの不正侵入、サボタージュ、Webサイトへの不正が増加傾向を示しています。またCSI調査で今年初めて報告されたインスタントメッセージ（IM）経由の攻撃が急激に増加しはじめているようです。従来多くのIM攻撃は単にIMユーザのアドレス帳を介して不正コードを拡散したもので、それに付随するダメージはそんなに大きくなかったようです。最近の攻撃は電子メールベースの攻撃と同様に、なりすましを目的として金融情報の詐取を試みる不正が目立ってきていますので、金銭的被害が広がっていることが予想されます。

＜フィッシング関係＞

フィッシングについては、「内部者によるネットワークの不正アクセス」、「ウイルス」、「ラップトップの盗難」に次いで3番目に発生頻度が高くなっています。CSIによるフィッシングの調査は今回初めてでしたが、対フィッシング団体であるAPWG（＊1）によると、米国におけるフィッシング詐欺は年間2万件以上発生し、新たな手口が年々出現しております。さらに大手金融機関から小中規模の金融機関までターゲットを広げており、最近では企業の幹部をねらったスパムメールによる詐欺をフィッシングに代わってホエーリングと呼ぶそうです（APWG談）。

＊1　APWG：The Anti-Phishing Working Group
http://www.antiphishing.org/

＜日本のインシデント発生状況＞

日本における特徴的なインシデント発生状況を情報処理推進機構（IPA）の報告からみますと、ウイルスの届出件数は2006年をピークとして、2007年まで毎年減少しています(図1)。また、不正アクセスの届出件数についても2004年から3年間毎年減少しているところです。

図1:ウイルスの届出件数
https://www.netsecurity.ne.jp/images/article/nttds01_0617.jpg
(出典IPA： http://www.ipa.go.jp/security/outline/todokede-j.html )

（3）Webサイトのインシデント

Webサイトへの不正に限定すると、CSIの調査では2006年の報告と比較して2007年では10件以上の不正があったとする割合が急激に減少しています（59%→2%）。また、5件以下の不正があったとするものは増加（30%→40%）する傾向を示しています。Webサイトに関する全体的な不正件数が増加しているものの、10件以上の不正があったとする割合が急激に減少しているのは、不正が検出された後、早い段階でパッチ等の対策がうたれている結果ではないかとCSIは推測しています。

Webサイトのサービスを実現するWebアプリケーションは、サイト独自で運用されていることが多く、一般には脆弱性が残存する可能性が高くなります。また、今後Web2.0の展開が進展しサービスの高度化、多様化が進む中で、インシデントの急増が懸念されるところです。

日本においてもWebの脆弱性を突くインシデントは増加しており、これに対してIPAでは2005年にWebサイトの脆弱性による被害を回避するためのチェックポイントリストを公表しています。

（4）被害額の傾向

ここ5年間CSIの調査では全体的にインシデント数が減ってきているにも拘わらず、インシデントにより被った損害額が増加していると報告しています。2006年の回答数は313で全被害額は約5200万ドル（1社当りの平均被害額17万ドル）に対して、2007年の回答数は194に減っているにも拘わらず全被害額は約6700万ドル（1社当りの平均被害額35万ドル）と増えています。一社あたりの損害額が増えた要因は、より犯罪性が高い金銭的な不正が多くなっていること、特定の企業をねらったターゲットアタックが増えてきていることなどが挙げられそうです。

【2】セキュリティ技術、セキュリティ教育他

（1）セキュリティ技術の導入状況

導入されているセキュリティ技術の大部分について、2006年報告と2007年報告では顕著な変化はない中で、アプリケーションレベル・ファイアウオールが5%以上の伸びを示し45%の組織で導入が進んでいます。ワクチン、ファイアウオール、アンチスパイウエアの導入がそれぞれ80%を超えて定着しているようです。また、VPN、パッチ管理システムの導入が広がっており、新たに2007年報告から調査対象に加えられるようになりました。

（2）セキュリティ教育の実施状況

セキュリティ教育については、80%以上の組織でセキュリティ教育を実施しており、そのうち35%は全社員を対象とした定期的なテストを強制的に実施し、教育効果を測定しているとのことです。また、ソーシャルエンジニアに関わるテストを実施している組織が13%あると報告しています。

（3）SOX法と情報セキュリティ

CSIの調査では、SOX法が…

＊各規格名、会社名、団体名は、各社の商標または登録商標です。

【執筆：東京大学情報セキュリティコミュニティ副代表林誠一郎】

【関連リンク】
NTTデータ・セキュリティ | セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》