［世界］【CompTIA調査】
企業へのセキュリティ侵害、発生件数はダウンでも被害レベルは深刻化

セキュリティ関連支出は2年連続で増加、IT担当者の悩みはスパイウェア対策

（2007年10月04日）

　コンピュータ技術産業協会（CompTIA）は先ごろ、「セキュリティに関する調査リポート 2006年版」を発表した。それによると、企業（組織）へのセキュリティ侵害の件数は減少傾向にあるものの、その被害レベルは深刻化しているという。

　同リポートは、1,000人以上のIT専門家から寄せられたデータを基に、CompTIAが集計／分析したものである。

　それによると、2006年中に重大なセキュリティ侵害があったと回答した組織は34％で、2005年の38％、2004年の58％から減少していることが明らかになった。

　しかし、回答者がセキュリティ侵害の深刻度を10段階で採点（10が最も深刻）した点数の平均は4.8で、2005年の2.6から大幅に増大した。

　もっともこの数字は、驚くに値しない。4,560万件ものクレジットカード番号とパスワードを流出させた米国TJXカンパニーズや、ユーザーの電子メール・アドレス、自宅の住所、電話番号、通話履歴までも流出させた求人情報サイト「Monster.com」を見れば、セキュリティ侵害が深刻化していることを実感するはずだ。

　また、組織のセキュリティに関する支出は、増加傾向にあることも明らかになった。2006年度のIT予算のうち、セキュリティ関連の支出は20％を占め、2004年度の12％、2005年度の15％から2年連続で増加した。

　なお、「自社の経営陣が、情報セキュリティを最優先課題として認識しているか」の質問には、78％が「認識している」と回答している。

　また、「セキュリティの不安要素は何か」の質問には、55％の回答者が「スパイウェア」を挙げた。一方、「ユーザーのセキュリティに対する認識の甘さ」（54％）、「（アクセス権を持った）正規ユーザーのアクセス権の乱用」（44％）と、ユーザーの意識を問題視する声も目立った（複数回答）。

　ただしセキュリティ侵害の原因に、「人為的ミス」を挙げた回答者は42％で、2005年の59％から減少している。また「今後のセキュリティ課題」には、「ブラウザ・ベースの攻撃に対する防御」（41％）、「適切なリモート・アクセスの実現」（40％）、「堅牢な無線ネットワークの構築」（39％）、「セキュリティ・ポリシーの履行」（36％）などが挙げられた（複数回答）。

　CompTIAは、「適切なセキュリティ・ポリシーを導入し、ユーザーのセキュリティ・トレーニングを実施すれば、セキュリティ侵害を防ぐことができる」としている。ちなみに「（組織内に）明文化されたITセキュリティ・ポリシーがある」と回答した人は62％で、2年前の47％から大幅に向上した。

　なお、2006年度に発生したセキュリティ侵害の平均被害額は、36万9,388ドルだったという。

(デニス・ドゥビー／Network World オンライン米国版)