「不正アクセス行為対策等の実態調査」を読む（２）

前回から引き続き、警察庁が発表した２００５年版の 「不正アクセス行為対策等の実態調査」の内容をご紹介したいと思います。

「個人所有のＰＣの業務利用を制限している」　５９．６％
これはＰＣ等の事務所への持ち込み、持ち出し制限に関するアンケート結果で、以下「ＰＣの持ち出しを禁止している」４５．２％、「記憶媒体の持ち出しを制限している」２８．６％と続きます。この項目のアンケート結果を金融・行政のみピックアップしてみると、「個人所有のＰＣの業務利用を制限している」９２．５％・７１．８％（金融・行政の並び）、「ＰＣの持ち出しを禁止している」８４．９％・８５．５％、「記憶媒体の持ち出しを制限している」８４．９％・３３．９％となっています。やはり金融は厳しいですね。行政も平均と比べて厳しくはあるのですが、個人所有のＰＣを利用している率がやや高い気がします。こういったところが先のWinny関連のウイルスによる情報漏えいの原因の一因となっているのでしょうか。

「重要施設への入退室の管理方法は登録者以外の入室規制」　４４．９％
以下、「記帳」３１．８％、「ＩＣカード」２０．６％、「暗証番号」２０．１％、「監視カメラ」１９．５％、「磁気カード」１８．０％、「バイオメトリクス」１３．４％、「警備員」１２．４％と続きます。「登録者以外の入室規制」の手段が「ＩＣカード」などの認証なのにこれらがすべて同じレベルでアンケートの選択肢にある理由が良くわかりませんが、個人的には「バイオメトリクス」を利用している割合が少ないのが残念です。ちなみに、この項目で非常に実施率が高かったのが金融とエネルギーの業種です。エネルギーの業界では重要施設への入退室の管理に「バイオメトリクス」を使う率がなんと４４．４％だそうです（もちろん他のものと組み合わせて利用していますが）。

「インターネット接続点における不正アクセス防止対策はファイアウォールの導入」　８８．８％
以下、「PROXYサーバの設置」６１．６％、「ウイルス対策機能を持つゲートウェイ」５７．６％、「ルータによるプロトコル制御」５７．６％と続きます。最近ではUTMも充実してきていますし、中小規模の法人でも様々な角度の境界対策を実施することができるようになってきたと思います。

「外部からの接続に利用している認証方法はID/パスワード認証」　５８．７％
以下、「電話番号規制」１１．４％、「ワンタイムパスワード」１０．６％と続きます。やはり当分の間はパスワード認証でしょうね。「認証なし」９．６％という恐ろしい回答もあります。

「重要なシステムの不正アクセス対策としてデータのバックアップを行っている」　７９．７％
以下、「個人ＰＣの接続制限」５０．７％、「外部ネットワークに接続していない」４１．９％、「重要な基幹業務システムは他のネットワークと分離した専用ネットワークを構築している」４０．６％、「基幹業務システム専用のファイアウォール・ルータを導入している」３２．２％となっています。やはり、重要なシステムは専用のネットワークを構築するのが最もセキュアであるといえるでしょう。

「定期的に確認していないが、サーバ管理者の最良でセキュリティパッチを適用している」　３１．５％
これはサーバへのセキュリティパッチの適用状況に関するアンケート項目です。以下、「頻繁にセキュリティ関連サイトを確認し、常に最新のパッチを適用している」３１．５％と続きます。セキュリティパッチの適用はセキュリティ対策の基本ですから必ず行ってください。「パッチを適用していない」４．１％、「問題が発生するまでパッチは適用しない」５．６％なんて論外です。問題が起きてからでは遅いのではないのでしょうか。

「内部からの不正アクセスへの対策として、情報資産へのアクセス権の設定を行っている」　７２．６％
以下、内部犯への対策として「定期的なバックアップ」６７．８％、「ぱそこん廃棄時の適切なデータの消去」６６．８％、「アクセスログの取得、ログの分析」４８．３％、「定期的なパスワードの変更」３７．０％、「共有ID・パスワードの禁止」３４．５％と続きます。ほとんどの項目が行ってもはや当たり前とも言えることだと思うので、まだまだセキュリティ対策が定着していないのかなと思います。その一方で、「アクセスログの取得、ログの分析」が思いの外高い値でした。また、金融は「情報資産へのアクセス権の設定」９６．２％、「アクセスログの取得、ログの分析」８４．９％をはじめとしてすべての項目で平均よりも高い数値を示しています。

「不正プログラムの対策としてウイルス対策ソフト（クライアント）を使用している」　９３．２％
以下、「ウイルス対策ソフト（サーバ）」８４．１％、「定義ファイルの更新」７３．３％、「許可されていないソフトウエアのインストール制限」３９．８％となっています。もはやウイルス対策ソフトを使用していることは当たり前ですよね。その一方で、「スパイウエア対策（クライアント）」２５．９％、「スパイウエア対策（サーバ）」１７．５％と低くなっています。これは、ベンダーがウイルス対策とスパイ対策がセットになったものを発売することによって改善されるのでしょうか。

「メールの不正中継の対策としてファイアウォールの遮断を行っている」　４２．９％
メールの不正中継の対策としては「メールサーバの設定の変更」４０．３％、「メールサーバ・ソフトのバージョンアップ」２４．３％、「メールサーバへの対策ソフトの導入」１６．５％と続きます。スパムメールが大きな社会問題となっている今日この頃、「実施していない」１９．０％では済まされないのではないのでしょうか。

「アクセスログ（サーバ、ログイン、Webサーバのログなど）を取得している」　７６．１％
これはログの取得状況に関するアンケートですが、以下「ファイアウォールのログ」６３．０％、「業務アプリケーションのログ」５１．５％、「IDSのログ」１７．３％と続きます。アクセスログといってもどのようなログを取得しているのかはっきりしないのでなんともコメントしづらいですが、とりあえずログを取得している企業・行政は多いようです。また、「金融はアクセスログを取得している」９４．３％となっています。取得したログの保管期間に関しては「特に決まっていない」５０．４％、「１年未満」３５．７％となっています。「保管はしていない」１．３％というミラクルな回答もあります。ログの解析頻度に関しては「問題発生時」５９．８％、「定期的」１８．７％となっています。定期的に解析する中でも最も多いのは「毎月」８．９％です。毎月、もしくは２，３ヶ月に１回ぐらいは解析をしたほうが良いと思います。

「不正アクセス等の検知対策を実施していないが、必要性を感じる」　４５．２％
以下、「実施している」３８．６％となっています。具体的な対策内容としては（予定も含む）、「DoS攻撃対策機能を備えたファイアウォールやルータ等の導入」５９．０％、「IDSの導入」５３．０％、「擬似アタックテストの実施」１９．５％となっています。

「個人情報の管理はそれぞれの部署において行っている」　７４．４％
個人情報の管理方法に関してのアンケート項目ですが、以下「顧客の個人情報の使用や閲覧を制限している」３６．３％、「個人情報を管理する担当部署を設置して管理している」２７．９％と続きます。個人情報保護に対する組織的・制度的対策としては「個人情報の利用目的・収集時期・管理者の明確化」６０．６％、「社・団体内教育の充実」５３．０％、「個人情報保護管理責任者の設置」５０．８％、「必要な個人情報の絞込み」４１．４％、「問い合わせ窓口の設置」３２．３％となっています。

「クライアントあたりのセキュリティ投資額の平均額」　２１,１１３円
業種別では「金融」５１,２９６円が最も高く、以下「エネルギー」４４,１４８円、「運輸」４１,８５１円と続きます。逆に最も低いのは「教育」４,４０７円で、以下「行政」７,４５２円、「不動産」９,５７７円と続きます。ちなみにこれは「セキュリティ投資額は０円である」９．３％という回答も含んでの平均です。お金をかければ良いというものではありませんが、教育、行政は投資額が低すぎやしませんか？

「情報セキュリティ対策の問題点は費用対効果が見えないことである」　５７．８％
これは情報セキュリティ対策の問題点に関するアンケート項目ですが、以下「コストがかかりすぎる」５４．８％、「どこまで行えばよいのか基準が示されていない」４９．８％と続きます。セキュリティサービスを利用していない理由という項目で、一番多かった回答が「コストを負担できない」４６．５％ということを含めて考えると、やはり情報セキュリティ対策の問題点は「コストがかかる割りに効果が見えない」ということでしょうか。

「不正アクセス等により想定される被害は個人のプライバシーが脅かされること」　７１．５％
これはセキュリティ・インシデントによって想定される被害という項目ですが、以下「社会的に深刻な被害には至らないが、自社の事業活動にとっては深刻な被害になる」５０．０％、「顧客や取引先の財産が脅かされる」２０．０％と続きます。

「過去１年間の情報セキュリティに関する被害はウイルス等の感染」　３２．８％
これは過去１年間に被害に遭った内容に関するアンケートですが、以下「ノートPCの紛失」８．３％、「スパイウエアの感染」８．３％、「内部者のネットワークの悪用」２．３％、「DoS攻撃」２．３％、「メールの不正中継」１．７％と続きます。ウイルス対策ソフトを導入していると回答した企業・団体が９割を超えているのに、３割がウイルスの被害に遭っているというのはなんだか切ないですね。ウイルスの感染経路に関しては「電子メール」６２．８％、「外部へのWebアクセス」２５．１％、「記憶媒体の持込・私物パソコンの接続」２２．１％、「不明」１３．１％となっています。また、被害時の対応としては「最新パッチの適応」５２．５％、「ウイルス対策製品の導入/強化」３９．５％、「ソフトウエアのバージョンアップ」２４．０％となっています。パッチの適用とかウイルス対策製品の導入とかは、ウイルスが来る前に行っておかないと意味がないと思うのですが・・・。まあ、自分は大丈夫だろう精神ってやつですかね。

「情報セキュリティの被害を受けた際にどこにも届けなかった」　９０．０％
以下、「IPAに届けた」５．０％、「警察に届けた」２．０％と続くのですが、届けないと回答したところが圧倒的に多いです。２００３年度の調査では「届けない」７６．６％、２００４年度は７７．１％だったのですが２００５年度は一気に増えました。その理由ですが、「たいした被害ではなかったので」６３．３％、「社・団体内で対応できたので」３８．３％だそうです。確かにIPAなどにウイルスの被害を届け出るのは面倒ですが、情報セキュリティ被害の実態把握のためにも何らかの制度を整備する必要があるのではないでしょうか。

かなり長くなってしまいましたが、以上で終了です。前回と今回の内容に関しての詳細は 警察庁が題している「不正アクセス行為対策等の実態調査」をご覧ください。

＜参考資料＞
不正アクセス行為対策等の実態調査　警察庁