一昨年、総務省(http://www.soumu.go.jp/)が民間企業・地方公共団体・病院・大学などを対象に行った「情報セキュリティ対策に関するアンケート調査」によると、以下のような結果となっています。
(1)被害状況
侵害事案の発生実態については、民間企業の60%強が「発生あり」と回答しています。その内「ウィルス・ワーム感染」は約96%が経験しており、ついで「スパムメールの踏み台」が約15%強、「DoS攻撃」が約7%、「Web上でのクレーム・誹謗中傷」「HPの改竄」「情報漏洩」が約5%となっています。また、「ファイル・データベースの改竄」「システム破壊・サーバーダウン」といった深刻なものも約0.3%と、数字は少ないものの発生しています。
民間企業以外では、72%強の大学が「発生あり」と回答しており、「スパムメールの踏み台」が36%、「HPの改竄」が21%、「システム破壊・サーバーダウン」が約6%と、民間企業と比較し高い数値となっています。
(2)セキュリティ管理体制の現状
@大手民間企業のセキュリティ管理体制について、特別な組織・チームを設置しているのは全体の約24%に留まっており、専従のセキュリティ担当者を設置している企業は僅か8%となっています。なお、5%弱の企業ではセキュリティ担当者が存在せず、欧米と比較し、体制面での取り組みが遅れています。
Aウィルス対策については、民間企業の99%強、地方公共団体、大学、その他学術・研究機関などでもほぼ100%ウィルス対策が実施されています。しかし、病院では何も実施していない団体が15%強も存在しています。
B外部からの不正アクセス対策については、大手民間企業では「ファイヤーウォール」「ルータ」「プロキシーサーバー」等の基本的対策は取られているものの、「VPN」「IDS」「脆弱性アセスメント」「DoS攻撃回避ツール」等は20%に満たない低い数字となっています。民間企業以外では、やはり病院の実施率が低く、「ファイヤーウォール」も約35%という結果となっています。
Cセキュリティ・ポリシーの策定については、大手民間企業の約28%が「既に策定済」と回答しており、「策定作業中」と回答した企業も約20%となっています。しかし中小企業については10%に満たない数字となっており、病院・学術研究機関の約40%が「策定予定なし」と回答しています。
その理由としては、「知識・ノウハウがない」「予算がない」と言った点に集約できます。なお、「必要性を感じない」「社員のモラルが徹底しているので問題が生じる心配がない」といった認識の甘い企業・団体も約15%ありました。
(3)今後の対策項目
大手民間企業では「データ・電子メールの暗号化」「セキュリティ・ポリシーの策定」「社員教育」が約42%と高く、「IDS」「メール・Webフィルタリング」「VPN機器」「ログ解析」等の各項目も約30%となっています。大学では「セキュリティ・ポリシーの策定」「社員教育」が高く、病院、その他学術・研究機関では「アンチウィルスソフト」「社員教育」が相対的に高い数字となっています。
|
個人情報保護法とは
サポート・デスク
