2013年度情報セキュリティ事象被害状況調査 

2014年01月27日
IPAは、「2013年度情報セキュリティ事象被害状況調査」を発表。IPAでは、最新の情報セキュリティ被害の動向や対策の実施状況を把握し、適切な対策の普及・啓発活動に役立てるため、「情報セキュリティ事象被害状況調査」を1989年度から毎年実施しており、今回で24回目になります。

【調査概要】
調査対象:業種別・従業員数別に抽出した約14,000企業
調査期間:2013年8月~10月(調査対象期間:2012年4月~2013年3月)
調査方法:郵送調査法
回収結果:1,881件(有効回収率13.4%)
主な調査項目:回答企業の概要、情報セキュリティ対策の現状、コンピュータウイルス・サイバー攻撃による被害状況

【調査結果】

(1)セキュリティパッチの適用状況を確認していない割合は47.3%と約半数

クライアントパソコンへのセキュリティパッチの適用状況は、「常に適用し、適用状況も把握」が36.0%である一方、「常に適用する方針・設定だが実際の適用状況は不明」は31.3%「各ユーザに適用を任せている」が16.7%と、実際に適用状況を確認していない割合は47.3%と約半数に上りました。
昨年までのデータと比較すると「常に適用し、適用状況も把握」は約2ポイント、「常に適用する方針・設定だが実際の適用状況は不明」は約5ポイント上昇していますが、これはセキュリティパッチ適用の重要性は浸透したものの、実際の適用状況まで見届けることの重要性までは理解が進んでいないことを示しています。

(2)組織内の体制整備が進展:「兼務だが担当責任者を任命」は前年から7ポイント上昇

情報セキュリティ対策の社内体制として、「専門部署(担当者)がある」は15.7%で前回調査と同様でしたが、「兼務だが担当責任者が任命されている」は56.6%と、前回の49.6%から7ポイント上昇しました。これは「組織的には行っていない(各自の対応)」(14.8%)が前回(21.3%)より6.5ポイント減少したことも合わせ、社内体制の整備は進展していることが伺えます。

また、組織内の「役員」「正社員」「契約社員」の情報セキュリティ対策教育の実施状況を2011年度と比較すると、「特に実施していない」の割合がいずれも減少(「役員」△6.1%「正社員」△4.7%「契約社員」△2.7%)しており、組織内において対策の必要性が認識され、教育の実施率が向上していることがわかりました。

(3)ウェブサイト閲覧によるウイルス遭遇率が約7ポイント増加。あらゆる侵入経路にも要注意

ウイルス遭遇率は71.5%と前回の68.4%から若干の増加となりました。ウイルスの侵入経路をみると、最も多いのがウェブサイト閲覧で前回の56.4%から63.2%へと6.8ポイント増加し、続いて電子メール51.7%(前回52.2%)、USBメモリ等の外部記憶媒体38.0%(前回45.5%)となりました。
私物のUSBメモリ等を社内ネットワークに接続する際の運用ルールを聞いたところ、「禁止している」もしくは「届け出に応じた許可制としている」企業は67.3%となっています。一方、「禁止していない」は28.9%でした。USBメモリ経由のウイルス感染は減少傾向にありますが、未だに4割弱もあることから慎重な運用が求められます。また、ウェブサイトについてはより一層の、電子メール経由についても引き続き注意を払う必要があります。

(4)スマートデバイスに技術的な各種セキュリティ対策を行っているのはわずか3割台

スマートフォンやタブレット端末を業務に利用している企業は40.6%と前回より11.1ポイント増加しました。セキュリティ対策については、「紛失・盗難時のデータ消去」が37.5%、「セキュリティソフトの導入」が33.9%、「MDM(*1)による端末管理」が30.0%と、技術的な対策は30%台に留まり、前回調査時から進展が見られませんでした。また、「利用ルールの策定」は45.6%と運用面での対策実施率も半数以下でした。
業務で利用するスマートデバイスには企業の情報が保持されているため、技術面および運用面から、データ保護対策の実施が求められます。

その他、詳しいリサーチ内容はネタ元へ
[情報処理推進機構]
 マイページ TOP