NetSecは,毎年実施されているCSI(Computer Security Institute)とFBI(Federal Bureau of Investigation:米連邦捜査局)によるコンピュータ犯罪とセキュリティに関する共同調査(The CSI/FBI Computer Crime and Security Survey)の結果が最初に公表される場としても注目されている。
この調査報告書は,一時期,日本国内でも情報セキュリティの重要性を訴えるセミナーで必ずといってよいほど紹介されてきた。コンピュータ犯罪の増加を裏付ける米国の公式な報告書としてたびたび引用されたものだ。
「昨年よりさらにひどくなった!」
NetSec最終日である6月14日のモーニング・セッションで,2006年度の調査結果が発表された。発表者は,昨年同様,調査結果の編集にあたったCSIのロバート・リチャードソン(Robert Richardson)氏である。
第一声は,「昨年よりさらにひどくなった!」。理由は,コンピュータ犯罪の被害金額が一昨年,昨年に続き,大きく減少しているからだ。昨年は,大きなため息をついて嘆いて見せて,会場の笑いを誘っていた。
被害額が減少することは,本来なら喜ばしいことだ。ただ,セキュリティ業界やセキュリティ関係者にとっては逆風といえる。その点は,CSIやFBIにとっても事情は同じ。それが,前述のジョークにつながっている。そうした調査結果が影響しているのか,例年,共同調査ということで発表会に同席していたFBIの関係者は,今年はついに姿を見せなかった。筆者は長年NetSecに参加しているが,このようなことは初めてである。
コンピュータ犯罪による企業の平均被害額は,2005年度の20万4000ドルに対して,2006年度は18%減の16万8000ドル。2004年度の調査結果と比較すると,68%も減少している。
写真6●激減している米国企業のコンピュータ犯罪による被害金額
当然ながら,ウイルス感染やノート・パソコンの盗難といった犯罪タイプ別にみても,それぞれ被害金額は大きく減少している。
写真7●米国企業におけるコンピュータ犯罪タイプ別の被害金額
特筆すべきは,内部関係者による犯罪の減少だ。過去,コンピュータ犯罪の85%以上が内部犯行などとされてきたが,回答者の多くは,内部関係者による損害はないと答えており,被害金額も全体の5分の1程度に低下している。調査結果は,内部犯行の脅威が過大評価されていることを示している。少なくともFBIは,「コンピュータ犯罪のほとんどは内部犯行による」といった表現を今後は使用しないはずだ。
企業がコンピュータ犯罪によって被る損害や内部犯行が年々減少しているという事実は,コンピュータ犯罪そのものは予測可能な犯罪であることを示している。“学習”によって再発を防止できるということだ。一度被害に遭った企業は学習し,再発防止のためのセキュリティ対策を講じる。その結果として,被害報告額が減少することは明らかだろう。
こうしたコンピュータ犯罪による被害額の減少が影響しているかどうかは不明だが,企業のセキュリティ対策費の減少も顕著だ。昨年は35%の企業がIT予算に占めるセキュリティ対策費は2%以下と回答していたが,今年は,およそ半数が2%以下と回答したという。米国のセキュリティ業界に覇気がないのもうなずける。ファイアウオール製品の導入率は98%,アンチウイルス製品の導入率に至っては99%に達しているのが現実なので,IT投資におけるセキュリティ対策費も一段落ついたということだろう。
CSI/FBI共同調査が大幅な方針転換
調査結果を発表したロバート・リチャードソン氏は,今回の調査結果を踏まえて2つの問題について言及した。一つはCSI/FBI共同調査が示す被害金額と,他の調査結果との大きな違いについてだ。CSI/FBI共同調査の示す損害額は,他のどの調査結果よりも大きな金額が示されている。ちなみに日本国内における被害額としては,情報セキュリティ大学院大学助教授の内田勝也氏の調査結果が紹介されていた。
この点についてリチャードソン氏は,「調査対象がCSI会員企業であるため」と分析している。CSIに加入し,毎年NetSecに参加者を送り出しているような企業はいわゆる大企業が大半であることから,調査母体が偏っているためにこのような数字が示されたという。
もう一つの問題点は,一般の人の多くが抱いている「コンピュータ犯罪は増加している」という感覚と,CSI/FBI共同調査が示す「コンピュータ犯罪被害は減少している」という結果が正反対であったこと。リチャードソン氏は,調査対象が企業であることにその原因があると指摘する。
世間が関心を示しているコンピュータ犯罪は,個人を標的としたものが大半。それらの損害は直接企業に影響しないため,調査には反映されないのだ。こうした問題点を踏まえて,来年度からは一般ユーザーを狙ったコンピュータ犯罪の被害額を調査するという。今回で12回目を数えたCSI/FBI共同調査の報告書は,来年は大きく様変わりするだろう。
とはいえ,12年にも及ぶ定点観測調査は,非常に価値があることは明かである。筆者としては,今後も企業を対象とした調査が併せて実施されることを望みたい。調査報告書内容は,CSIのホームページから参照できる。
