Code Red,Sircam,Nimda――。2001年はさまざまなウイルス(ワーム)が猛威を振るった。Webサイトの改ざんも多数報告された。その経験から,企業のセキュリティ対策はどのように進んだのだろう。
日経インターネットテクノロジーは2001年11月に,国内企業を対象とするアンケート調査を実施した。調査対象は,証券取引所1部・2部上場企業や証券,金融,生損保の有力企業,未上場有力企業など2893社で,そのうちの1053社から回答を得た。
ウイルスが猛威を振るったことは,結果の数字から見て取れる。2001年に感染してしまったウイルスを聞いたところ,Nimdaが46.5%,Sircamが29.0%だった(複数回答)。以下,Code Red(16.8%),MTX(14.0%),Hybris(8.9%),Code Red II(6.3%),Magistr(6.3%)と続く。特に,Nimdaには半数近い企業が感染しており,その脅威が浮き彫りになった。
これだけウイルスが猛威を振るっただけあって,アンチウイルス・ソフトの導入は確実に進んだ。全社員にアンチウイルス・ソフトを導入している企業は77.4%と,2000年11月に実施した前回調査よりも7.2ポイント伸びた。一部社員に導入していると答えた24.9%を加えると,95%程度の企業がアンチウイルス・ソフトを導入していることになる。
脅威への認識は進んだが,対応は遅れ気味
ただし,重要なのはパターン・ファイルの更新状況である。アンチウイルス・ソフトを導入しても,最新のパターン・ファイルに変更していなければ意味がない。
アンチウイルス・ソフトを導入していると答えた企業に対して,パターン・ファイルの更新方法を聞いてみた(複数回答)。結果は,自動的に全ユーザー分を更新していると答えた企業が57.5%,サーバーに最新データを公開して更新していると答えた企業が26.9%だった。ただし,各自の運用に任せている企業も22.2%あった。
Webサイトに「招かざる客」の訪問を受けた企業は,予想通り,少なくなかった。不正アクセスの経験を聞いたところ,「ある」と答えた企業は38.3%だった。「ある」と答えた企業に具体的な被害を聞くと,Webページを改ざんされた企業が12.9%もあった。全回答企業の約5%,つまり20社に1社がWeb改ざんの被害に遭っている。
Webサイトを改ざんされないためにも,またNimdaなどに感染しないためにも,Webサーバーにパッチを適用することが欠かせない。ところが,対応は遅れ気味である。外部Webサーバーのソフトウエアにパッチを適用しているかを聞いたところ,提供され次第適用していると答えた企業は30.9%に過ぎなかった。
いくつかまとめて適用している企業が17.7%,ときどき適用している企業が15.6%だが,これらはまだいい方だ。ほとんどあてていないが9.9%,まったく適用していないが9.9%あった。約2割の企業では,パッチは適用されていない状況である。
危ないのは分かっている。でも対策があまり進まない。ユーザー調査の結果を眺めながら,2002年も企業のインターネット環境の危なさに冷や汗を流す,そんな日が続きそうな気がした。危ないと思ったらできるだけ早く取り掛かる,そしてせっかく取り掛かるなら最大の効果があがるよう徹底することが,重要ではないだろうか。
