Home > セキュリティコラム(1) 情報セキュリティの現状

セキュリティコラム(1)情報セキュリティの現状

2011/9/9

PCを当たり前に業務で使う時代

 IT化の進展が著しい昨今、ほとんどの企業でPCを業務に使用するようになっています。警察庁が2011年2月にまとめた調査では、規模を問わず75.7%の企業・団体等で「情報端末は1人1台」の環境が整い、複数人や部署単位等での共有を含めれば9割を超え、PCの使用はごく当たり前のことになっています。

情報セキュリティ対策の必要性
図1、情報セキュリティ対策の必要性 出典:IPA「2010年度情報セキュリティ製品の調達等に関する意識調査報告書」

 PCを用いる業務とは顧客や研究開発のデータ管理から、経理、社内備品の管理など多岐に渡ります。大企業はもちろんのこと、中小企業も例外ではありません。

 これらのデータはPC等にファイルの形で保存することがほとんどですが、紛失したり、破壊されたり、盗まれてしまう情報漏洩の危険性が常にあるのです。

 例えば、標的型攻撃やランサムウェア、ウイルス感染や不正アクセスでPCやシステムが動かなくなったり、データを持ち出されるという被害はよく聞かれます。社外に出た際にノートPCやUSBメモリ等を置き忘れたり盗まれたりすることもあるかもしれません。社内でも、書類管理のミスで大事なデータを消去してしまったり、メールの送信先を間違えて関係のない人に重要なデータを送ってしまう情報漏洩の可能性があります。

 多くの企業や団体は当然、このような危険性は承知しています。図1を見ると、一般に考えられる情報セキュリティ被害に対して、どの項目でも必要性は認識されています。特に、ウイルス対策は「非常に感じる」と「やや感じる」で9割強、情報漏洩対策でも約85%が同様に回答しています。

対策の実情

 そして、実際に各企業・団体は対策を進めています。

 図2を見ると、「ウイルス対策ソフト」は100%に近い企業・団体が導入しており、当たり前の対策に。「スパイウェア対策ソフト」がこれに続きます。

 一方で、「情報の不正な持ち出しを防止するためのツール」は2010年でも32.7%にとどまっています。2008年から11.5ポイントと大きく上昇しているものの、図1の認識に比べると情報漏洩への対策はやや遅れていると言えるのではないでしょうか。

情報セキュリティ対策製品の利用状況
図2、情報セキュリティ対策製品の利用状況(PC・サーバ等の情報セキュリティ対策製品・ツール):経年変化 出典:NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2010」 (クリックすると拡大します)

情報漏洩の脅威と遅れる対策

 しかし、やや対策が遅れがちな情報漏洩、実は注目を集めています。

 ITに関する様々な調査研究を行う情報処理推進機構(IPA)が発表した「2011年版 10大脅威」(表1)では、第1位を「『人』が起こしてしまう情報漏洩」としています。IPAではその原因を「過失」「故意」に分類。その脅威は常に日常業務に潜んでいると言えます。また、組織へのビジネスインパクトの項でも、情報の流出を一番の問題としてとらえています。

2011年版10大脅威
表1、2011年版10大脅威
出典:IPA「2011年版10大脅威 進化する攻撃…その対策で十分ですか?」

 過失・故意を問わず情報漏洩は容易に起こり得る上に後を絶ちません。PCを業務に用いる昨今では紙資料中心だった時代に比べ大量の情報を簡単に扱えるため、個人情報や営業機密が漏洩してしまった場合、組織に与える影響は測り知れません。

 人による情報漏洩では驚くべきデータも存在します。

退職時の情報持ち出し意識
図3、 退職時の情報持ち出し意識 (米Cyber-Ark Software社のプレスリリースを元に作成)

 社員の転職先が同業他社だったら…。自社の売上に与える影響は極めて深刻なものになりかねません。

 IPAの指摘や、図3のような調査があるにもかかわらず、情報漏洩対策は図2のように進んでいるとは言えないのが現状です。NRIセキュアテクノロジーズの調査によれば、「人的資源の不足、社員の意識の低さ、予算の制約などの理由で情報セキュリティ対策を十分に行えない現状」があります。そのため、ウイルス対策など多くの企業が必ず行っているようなものを優先させ、情報漏洩対策は後手に回ってしまっているものと考えられます。

 次回のコラムでは、この情報漏洩の現状を掘り下げ、その脅威を明らかにしていきます。