独立行政法人 情報処理推進機構(IPA)は3月28日、「2018年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」報告書について発表した。IPAでは、2017年4月から中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度「SECURITY ACTION」の運用を開始し、中小企業の情報セキュリティ対策の取組みを推進している。今回、SECURITY ACTION宣言事業者における情報セキュリティ対策の実施状況や課題、経営層の認識などの把握を目的に、宣言事業者を対象としたアンケート調査、アンケート調査結果に基づく訪問によるヒアリング調査(訪問調査)を実施した。アンケート調査の結果、多くの宣言事業者で情報セキュリティに関する規程や手順書の策定に課題があり、現状では不十分な状況であることが確認された。訪問調査では、SECURITY ACTIONに取り組むことで得られる成果やメリット、対策の工夫点などが確認され、収集した情報をもとに事例集としてまとめている。調査結果によると、SECURITY ACTIONに関する宣言を行うにあたり主導した人は、従業員規模が少ないほど「経営者」が主導し、総従業員数の増加に伴い「ITや情報システムの担当者」の割合が高くなる傾向にあった。「21~300名」の場合には、「総務担当者」が主導的に進めた割合が25~29%を占めている。SECURITY ACTION宣言をしたことによる効果への期待は、「取引先からの信頼が高まる」が46.0%ともっとも高く、「従業員による情報管理や情報セキュリティに関する意識を高める」が42.5%で続いた。情報セキュリティ対策の取組状況を、項目別に実践度(「ほぼ実践できている」「十分ではないが実践している」など)で回答する設問では、「重要情報のバックアップを定期的に行う」が84.6%ともっとも高く、「不審な電子メールを受信したときのルールを決めたり、そのための対策製品を活用する」が74.5%で続いた。一方で「情報セキュリティに関する規定、手順書を策定する」は、30.9%にとどまった。
Nagios XI において RSS 機能の実装不備と sudo 権限の設定不備を悪用して遠隔から管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report)2019.3.11 Mon 8:10
