情報セキュリティに関するトラブルが後を絶たない。この3月には韓国で大規模なサイバーテロが発生するなど、世界的にもセキュリティの問題は深刻さを増している。ユーザー企業のシステム部門は、どのような手を打てばよいのか。日本情報システム・ユーザー協会が実施した「企業IT動向調査2013」の結果から、セキュリティ対策の実態と将来動向を紹介する。
過去1年で攻撃を受けたのは1割
ここ数年、特に問題が深刻化しているのが特定の企業・団体を狙う標的型サイバー攻撃だ。取引先などに偽装したメールを使ったり、セキュリティソフトが未対応な脆弱性を突いたりして社内ネットワークに入り込む。
では、どれくらいの企業が攻撃を受けているのか。過去1年間(調査時期は2012年10~11月)に攻撃を受けたかどうかを聞いたところ、10.2%が「攻撃を受けた」、13.4%が「受けた可能性もあるが把握していない」と回答した(図1)。
図1●過去1年間に標的型サイバー攻撃を受けたかどうか
[画像のクリックで拡大表示]
この数字が高いか低いかの判断は悩むところだ。標的型サイバー攻撃は、なかなか察知できない。従業員やシステム部員が知らないところで、機密情報が盗まれているケースは多い。調査前の仮説では「(攻撃を)受けた可能性もあるが把握していない」の割合が高くなるとみていたが、結果はそれほどでもなかった。
攻撃を受けた割合は、1000人以上の大企業の方が1000人未満の中堅・中小企業より高い。この背景には、大企業の方が標的になる情報を持っているため狙われやすいこと、不正侵入などを検知する仕組みが整備されているため攻撃を察知できること、などが考えられる。
