英SurfControlは米国時間3月23日,米国企業におけるインスタント・メッセージング(IM)のセキュリティ管理について調査した結果を発表した。それによると,職場のインターネットおよび電子メール利用に関して,社内規定を定めている米国企業は90%以上にのぼる。しかし,IMやピア・ツー・ピア(PtoP)のアプリケーションに関しては,49%の企業がまったく規定を設けていない。
SurfControl社の顧客7593社を対象に実施した調査から,機密情報の保護が「大きな懸念である」という企業が83%に達することが分かった。SurfControl社Product Marketing部門担当ディレクタのJim Murphy氏は,「なんとも皮肉な結果」という。IMやPtoPアプリケーションを介したやり取りは機密情報を扱うことが多いにも関わらず,暗号化したり,暗号を使って署名することは滅多にない。このため,ネットワークのスヌーピングや乗っ取り,データの改ざん,なりすまし攻撃の対象にされやすいという。
一方で,職場でIMを利用する社員は着実に増加している。米Osterman Researchによると,2004年時点で社員が何らかのIMアプリケーションを利用している企業は約90%に達する。
広く普及しているIMクライアントは,暗号化機能が不完全であるばかりか,バッファ・オーバーフローやDoS(denial-of-service)攻撃に悪用されるセキュリティ上の脆弱点を抱えている。しかし,米American Management Associationの最近の調査によると,職場でIMを利用するユーザーの78%が,無償のIMソフトウエアをダウンロードしたことがあるという。
「財務データ,社員データ,顧客データなど,企業の機密情報の漏洩にIMは利用されやすい。企業は職場におけるIMの利用について詳細かつ明確な方針を定め,効果的なテクノロジによってその遵守を促すべきである」(Murphy氏)
◎関連記事
■「2005年Q1は,IMや不正サイトを利用した攻撃が前期比300%増加」,米調査
■「IMのセキュリティ脅威,2005年は毎月50%のペースで増加中」,米調査
■「2005年第1~6週のIMワーム,前年同時期と比べ3倍以上増加」,米調査
■「職場における電子メールの監視/管理は不十分」,米American Management Associationが発表
■「企業の36%は社内のIM利用を禁止,セキュリティ侵害や法規違反を懸念」,米調査
■「2004年の企業IMユーザー数は3.62億人,2008年には6.7億人に」,米調査
■「ユーザーをIM/P2Pのセキュリティ脅威から守る」,米IMlogicが米McAfee/米AOL/米Microsoft/米Yahoo!と連携
■もう社員の“良識”には頼れない――セキュリティ・ポリシーをシステム化しよう
[発表資料へ]