|
独立行政法人情報処理推進機構(略称=IPA、藤原武平太理事長)は、最新のコンピュータウイルス関連の被害実態および対策の実施状況を把握し、コンピュータウイルス対策を推進するために、1.「企業における情報セキュリティ事象被害額調査」および2.「国内におけるコンピュータウイルス被害状況調査」を実施し、報告書を公開した。
1. 「企業における情報セキュリティ事象被害額調査」について
ウイルスや不正アクセス、情報漏えいなど情報セキュリティ事象が発生した場合、企業の被害額はどの程度発生しているのか。IPAは、調査で被害額算出モデルを用い、ウイルスによる感染被害が発生した際の、復旧費用・逸失売上を推計し算出した。また、不正アクセスによりWebサービスを停止せざるを得なくなった事象やWinnyを介した情報漏えい事象については、事象の発生した企業計10社に対してヒアリング等を実施し、その状況を取りまとめて推計した。
2. 「国内におけるコンピュータウイルス被害状況調査」について
IPAは、コンピュータウイルス対策を推進するため、国内におけるコンピュータウイルス被害状況調査を1989年度から毎年行っている。
今回は17回目の調査で、全国5,500企業および1,061自治体を調査対象として実施した。2005年(1月〜12月)の1年間に、ウイルスに感染または発見した状況、ウイルスの名称、種類数、ウイルス対策ソフトの導入状況、セキュリティパッチの適用状況、組織的な管理状況などを調査している。また、同調査では、インターネットの新しい脅威としてスパイウェアに関する被害の有無および対策の状況についても調査項目に加えた。
回答者(1,206企業、495自治体。以下「企業」と記す)のうち、15.3%(2004年20.9%)の企業が、2005年1年間の間に、一度はウイルスに感染している。感染には至らなかったものの、53.7%(2004年48.0%)の企業が、感染する前にウイルスを発見している。
2005年に感染または発見したウイルス(複数回答)は「W32/Netsky」が群を抜いて高く(57.3%)6割近くに達した。その他、「W32/Klez」(30.2%)、「W32/Mydoom」(27.2%)、「W32/Bagle」(25.1%)、「W32/Mytob」(24.4%)、「W32/Sober」(20.7%)などが2割を超えた。
クライアントPCへのウイルス対策ソフトの導入状況は、9割以上のPCに導入している企業が86.4%(2004年73.8%)、半数以上のPCに導入している企業が4.9%(2004年7.2%)、半数未満のPCにしか導入していない企業が5.5%(2004年10.9%)、まったく導入していない企業が2.4%(2004年7.1%)と前年より進んでいる。
クライアントPCへのセキュリティパッチの適用状況は、「常に最新のパッチを適用」との回答は32.0%(2004年31.2%)で、「定期的に適用」32.2%(2004年25.2%)および「気が付いたときに適用」20.0%(2004年18.2%)までを加えた合計でも84.2%(2004年74.6%)に留まり、前年に比べ進んではいるが、まだ約6分の1の企業でほとんど適用していない。
ウイルス対策の組織的な管理状況の回答(図1、図2)では、「専門部署がある」29.3%(2004年22.6%)、「兼務だが担当者任命」44.4%(2004年34.3%)、「外部委託」6.9%(2004年8.8%)となっており、専任・兼任を合わせて7割以上の企業内にウイルス対策の専門部署(担当者)が設置され、外部委託も含めた合計は80.6%(2004年65.7%)と、前年に比べ大幅に改善されている。
スパイウェアの被害状況(図3)は、「スパイウェアの侵入を受けた・スパイウェアが実行された」が7.5%、「スパイウェアを発見したが侵入や実行には至らなかった」が23.9%で、これらを合計した遭遇経験は31.4%にとどまり、「侵入や実行はなく発見もしなかった」が66.6%と3分の2を占めていた。一方、対策ツールの導入状況(図4)は、「スパイウェア対策の専用ツールを導入」が6.2%と1割もなく、「ウイルス対策ソフト等が機能拡張したものを利用している」の回答がほぼ半数を占める。
IPAでは「侵入や実行はなく発見もしなかった」の回答中には、侵入されながら気が付かないケースも多く含まれているのではないかと推測している。
|
