米Verizon CommunicationsのVerizon Businessは米国時間2008年6月11日,データの盗難や流失といったセキュリティ侵害に関する調査結果を発表した。それによると,セキュリティ侵害の87%は当然の対策を講じていれば回避できるという。
セキュリティ侵害のうち,外的要因によるものは73%で,内的要因によるものは18%だった。また外的要因のうち,提携企業が原因となったものが39%を占め,調査期間中に5倍に増えた。
データの盗難や流失は,複数の問題が重なって生じる場合が多かった。社内における重大な過失が,直接的あるいは間接的にセキュリティ侵害を引き起こした割合は62%だった。
故意にデータのセキュリティが侵害されたケースでは,ハッキングや侵入によるものが59%を占めた。ハッキングによるセキュリティ侵害では,アプリケーションやソフトウエアを狙ったもの(39%)が,OSを攻撃したもの(23%)を上回った。また脆弱性に対する攻撃は25%未満で,既知の脆弱性を突いた攻撃の場合,少なくとも6カ月前にパッチが配布されていたケースが90%に達した。
調査から,国によって攻撃方法に特徴があることが分かった。アジアの中でも,とりわけ中国とベトナムからの攻撃はアプリケーションを狙ったものが多い。またサイトの改ざんは中東に多く,POS管理システムに対する攻撃では,東欧やロシアのIPアドレスが頻繁に利用されている。
セキュリティ侵害が起こる前に,不審なイベントがデータ・ログに残っているケースが82%にのぼった。またデータの盗難や流失について,社外から指摘される前に気づいた企業はわずか14%だった。このため同社は,継続的なデータ・ログの監視や社員の啓もう活動など,基本的なセキュリティ対策の重要性を指摘している。
調査は,セキュリティ侵害に関する2億3000万件の記録をもとに,500件以上の調査を4年間にわたって実施したもの。
[発表資料へ]
