図4●パッチの適用状況(有効回答数:3016)

●ユーザーの対策状況
75%が最新パッチを適用,設定変更は65%が実施

 回答者全体では,およそ3分の2が最新パッチを適用している(図4)。「IEには適用すべきパッチが多過ぎる」(研究・開発,ハード/ソフトのメーカー/ベンダー)といった不満は当然あるものの,「使用する上では,きちんと対策を施して,自分の身は自分で守ることが不可欠」(その他の職種,通信事業者)との意識が,ある程度浸透してきたようだ。

 実際,IEユーザーほど,最新のパッチを適用している割合は高い(図5[拡大表示])。ただし,IE 5.0xにおいては,マイクロソフトからのパッチ提供が終了しているため,IE 5.0x用の最新パッチを適用していても,回避できない攻撃が存在する。つまり,勤務先などに強制されてIE 5.0xを使用しているユーザーは,非常に危険な状態にある。

勤務先は「情報提供」が精一杯

 このように,勤務先の“制約”がユーザーを危険にさらしている場合がある。逆に,勤務先にはユーザーを守ろうとする体制があるのだろうか。

 回答者の勤務先の64.1%には,パッチに関する体制がある。とはいえ,「イントラネットやメールで情報提供はするが,パッチの適用はユーザー任せ」が50.0%である(図6)。

図5●ブラウザごとのパッチ適用状況(有効回答数:3016)

 もちろん,勤務先で情報を提供してくれれば,ユーザーの負担は軽減される。「社員それぞれでセキュリティ情報をチェックしていたら,それだけで一日が終わってしまう。情報システム部門のアナウンスは最低限必要だ」(コンサルタント,ハード/ソフトのメーカー/ベンダー)。しかし,「ユーザーによってセキュリティ意識は異なる。情報提供だけでは,いくら口をすっぱくして言ったところで,やらない人はやらない」(プログラマ,ハード/ソフトのメーカー/ベンダー)のも現実だ。

分かりにくい設定に不満

 ブラウザの設定変更でセキュリティを高めているユーザーは,64.9%だった(図7)。

 ブラウザに限らず,ソフトウエアの多くは,初期設定のままでは危険な場合が多い。「IEにしてもNNにしても,初期設定が危なすぎる。スクリプト関連の初期設定はすべてオフにして出荷すべきだ」(SE,ユーザー企業)。初期設定の危険性を訴え,改善を求めるコメントは30件ほど寄せられた。

図6●勤務先での,パッチを適用する体制の有無(最新パッチを適用しているユーザーが対象,有効回答数:2273)

 この回答者のように,危険性を認識しているユーザーは適切に設定を変更している。しかし,パッチを適用しているユーザーと比べると少ない。この原因は,ひとえに設定が分かりにくいためだと考えられる。「どのように設定すれば自分の環境に適切なのかが,分からない。そのため,初期設定のままで使用している」(SE,ハード/ソフトのメーカー/ベンダー)。設定の分かりにくさを訴える,同様のコメントは40件寄せられている。

 設定を厳しくすると,閲覧できないサイトが多いことも原因のようだ。「ActivXコントロール*やJavaアプレット*などに依存したサイトが多過ぎる。設定をオンにしないと,トップ・ページすら閲覧できない」(SE,ソフトハウス)。その結果,「危険を承知で,セキュリティ・レベルを下げて使用している」(経営者,ユーザー企業)。「ブラウザの選択理由」と同様に,利便性のためにセキュリティを犠牲にしているユーザーは多い。

 変更内容は,アクティブ・コンテンツ*やCookie*を受け入れる際に警告を出す設定が上位を占めた(図8[拡大表示])。「ユーザーが知らない間に,不正な処理が行われることを避ける」(研究・開発,ハード/ソフトのメーカー/ベンダー)ためには有効である。しかし,効果を疑問視する声もある。「警告が出ても,それが危険かどうかは判断できない」(SE,ソフトハウス)。コンテンツが安全かどうかは,実際に実行してみないと分からないのが現状である。

図7●ブラウザの設定変更(有効回答数:3016)

 パッチ適用と設定変更の関係をみると,最新パッチを適用するユーザーの69.3%が設定を変更しているのに対し,適用していないユーザーでは43.5%にとどまる(図9[拡大表示])。今回はIT情報サイトの会員が対象のためか全般的にセキュリティ意識は高かったが,それでも,複数の対策を施すか全く何もしないかの2極化の傾向がみられた。



図8●設定変更の内容(複数回答,設定を変更しているユーザーが対象,有効回答数:1958) 図9●パッチの適用と設定変更の関係(パッチの適用状況が分からないユーザーは対象外,有効回答数:2938)

(勝村 幸博=katsumur@nikkeibp.co.jp,IT Pro

調査対象と回答者のプロフィール
図A●回答者の職種(有効回答数:3016)
 調査対象は,日経BP社のWWWサイト「IT Pro」会員で,同サイトから自主的に回答してもらった。調査票の作成および調査は,本誌編集部とIT Pro編集部が実施した。回答期間は2002年1月15日~1月24日。有効回答数は3016だった。
 回答者の職種はSEがトップで36%,次いで,研究・開発が16%だった(図A[拡大表示])。回答者の勤務先の業種としては,システム・インテグレータ(21%)やユーザー企業(17%)が多かった(図B[拡大表示])。
 OSについては,回答者の96%がWindows OSを使用している(図C[拡大表示])。なかでも,Windows 2000が全体の40%(1212件)を占め,企業に浸透していることが分かる。
 ブラウザの使用頻度を調べるため,業務における,社外サイトへのアクセスについても調査した。その結果,回答者の87%(2615件)が,毎日アクセスする必要があり,9.3%(281件)が週に1回以上必要であるという。「必要ない」は1.6%(49件),「月に1回以下だが,たまに必要」は1.2%(37件),「月に1回以上必要」と回答したのは1.1%(34件)であった。

図B●回答者の業種(有効回答数:3016)
  
図C●回答者が主に使用するOS(有効回答数:3016)

 本記事は日経オープンシステム2002年2月号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。なお本号のご購入はバックナンバー,または日経オープンシステムの定期ご購読をご利用ください。