Skip to content

セキュリティマガジン TREND PARK

サイバー攻撃への対策、
上層部と現場社員の認識のかい離が明らかに

企業のセキュリティ対策に関する調査結果レポート


トレンドマイクロは2012年3月、サイバー攻撃へのセキュリティ対策に関する調査結果を発表しました。同調査によって、「セキュリティポリシーが存在し、従業員に共有されかつ理解度を定期的に確認する機会がある」は全体で約半数の56.4%、役職別では「本部長・部長クラス」73.5% に対し「一般社員」51.2%と約2割低くなるなど、実施されている施策の認識について上層部と現場社員に大きな差があることが浮き彫りになりました。

機密情報などの漏えい対策、4割以下にとどまる項目も

今回の調査結果は、トレンドマイクロがWebで公開している企業向けセキュリティ対策診断サイト「セキュリティアセスメントツール」1を利用したのべ720人の回答に基づいています※2。25項目の設問の回答をもとに、防御力、対処力、組織力、専門力、および把握力の5つの側面から、最高得点を5ポイントとしてスコアリングします。さらに、職位別、業種別、企業規模別での分析も実施しました。

全体の回答傾向から見ていきましょう。多くの企業で対策ができている上位3つは、「クライアントPCやサーバにインストールされているセキュリティ製品は常に最新の状態に更新されている」、「公開システムと社内システムはネットワーク構成、運用上明確に切り分けられている」、「重要度の高い情報へのアクセスは特定のグループ、ユーザに制限するなど最小特権が適用されている」で、それぞれ77.4%、74.4%、71.9%と7割を超える企業が対策済みとなっています。

一方、対策ができていない項目は、「重要度の高い情報は端末に保存することができないようになっている」、「情報漏えい対策製品などのデータの送受信をブロックする仕組みを利用して重要な情報の漏えいから守っている」、「メールやリムーバブルメディアなどによる実行ファイルの送受信は禁止している」で、それぞれ24.3%、31.0%、40.3%。組織にとって重要な情報を守るための施策、対策ができている企業が3割程度にとどまっている現実が浮かび上がってきました。今後、外部からの侵入防御に加えて、内部の重要な情報を外部に漏えいさせない対策や教育の徹底が求められます。



図1:サイバー攻撃への対策状況/全体
設問から取り組むべき優先度の高い15問を抜粋。「はい」を選択した割合。
>画像をクリックして拡大



攻撃に悪用される脆弱性への対策、大企業は中小企業を下回る結果に

今回の調査で明らかになった、防御力、対処力、組織力、専門力、および把握力のそれぞれの平均は、2.8~2.9点でした。5つの側面でほぼ平均的な対策状況と言えるでしょう。これらの平均を取った総合力は平均2.9点となっています。

規模別の総合点は、99人以下が2.5点、2,500人以上が3.5点と、規模の大きさに伴ってスコアが高くなる傾向が見られました。

企業規模別の総合点は、従業員数99人以下が2.5点、2,500人以上が3.5点と、規模の大きさに伴ってスコアが高くなる傾向が見られました。



図2:事業規模別の対策状況
設問から一部を抜粋。「はい」を選択した割合。 サイバー攻撃への対策状況/全体
>画像をクリックして拡大



優先的な実施が望まれる15の対策を抜き出してみていくと、規模別で最も大きな差が見られたのは、「セキュリティポリシーが存在し、従業員に共有されかつ理解度を定期的に確認する機会がある」。従業員数99人以下で42.7%に対し、2,500人以上は76.2%「セキュリティインシデント発生時の対応プロセスが文書化されている」、「不正な通信を発見するような仕組みを利用して、社内ネットワーク、通信の監視を実施している」も差が大きくなりました。

また、従業員数500人未満では、500人以上と比較して、教育が進んでいない傾向も明らかになりました。「持続的標的型攻撃をはじめとする標的型攻撃、サイバー攻撃に関する注意喚起、ユーザ教育ができている」という質問項目に対し、従業員数500人以上の企業は50%強が「はい」と回答しましたが、499人以下の企業では34~35%にとどまりました。

昨年から相次いで顕在化している持続的標的型攻撃では、開発情報や機密情報など、目的の情報を窃取するために執拗に攻撃を繰り返す傾向にあります。直接該当の情報を保持する企業を攻撃するだけでなく、関連会社や取引先を踏み台にして攻撃を仕掛ける例もあるため、業種や事業所の規模を問わず、攻撃の侵入口となる脆弱性への対策は企業の情報セキュリティにおける喫緊の課題といえ、中小企業においても、小規模の事業者向けに予め設計された対策製品の導入や従業員向けの教育など、早急な対策の実施が望まれます。

一方で、規模が小さい企業、組織の方がスコアの高い設問もありました。「クライアントPCやサーバにインストールされているアプリケーションの修正プログラムは公開後すぐに適用している、あるいは代替としてセキュリティ製品のIPS機能を利用している」という質問です。従業員数99人以下の65.3%に対して、2,500人以上では、半数強の56.9%にとどまり、大企業における脆弱性への対策上、運用上の課題が明らかになりました。

大企業は複雑なネットワークを抱え、多様なビジネスアプリケーションを稼働させていることから、ビジネスへの影響を回避するために修正プログラムを適用する前にテストを綿密に行う傾向にあります。それが反映された結果と言えそうですが、持続的標的型攻撃では、その多くで、修正プログラムが適用されていないOSやアプリケーションの脆弱性が狙われることが分かっていることから、サーバやクライアントPC上の脆弱性の有無を見極め、セキュリティホールがあれば迅速に修正できる対策が急務と言えます。

記事公開日 : 2012.03.23

ページの先頭へ