［米国］【フォレスター調査】
Web 2.0のセキュリティ・リスクに対する企業の備えは不十分

新たな脅威と認識しつつも、多くの企業で対策が不足

（2007年10月09日）

　Web 2.0技術／メディアの普及に伴い従業員によるトラフィックが増したことで、企業システム／ネットワークに与えるセキュリティ上の脅威に関心が集まりつつある。しかし、米国フォレスター・リサーチの調査によると、多くの米国企業でこうした「Web 2.0が抱えるリスク」への備えが十分でないという。

　フォレスターは、このようなセキュリティ・リスクが高まっている理由として、企業のWebフィルタリングが不十分なことと、企業がWeb 2.0の潜在的リスクをユーザーや従業員に教えてこなかったことを挙げている。

　また、MySpaceやFacebookなどのSNSサイト、RSSフィードやGoogle Maps、ブログ、WikiなどのWeb 2.0ツールを仕事以外の目的で使う従業員が増えていることから、ネットワークの帯域幅にも影響が出ている。こうした個人的な使用とそれに伴うセキュリティ・リスクの高まりにより、コラボレーション技術を通して生産性を高めながらデータも保護したい企業では、意思決定プロセスがいっそう複雑化しつつある。

　フォレスターは、米国のセキュリティ・ソリューション・ベンダー、セキュア・コンピューティングの委託で実施した調査リポートの中で、「企業は今、インターネットの使用を制限する必要性と、インターネットおよびWeb 2.0のメリットを有効利用することのバランスをいかにして取るかに苦心している」と記している。

　フォレスターでは、従業員数1,000人以上の米国企業に勤務するIT／セキュリティ責任者153人を対象に、Web 2.0が抱えるリスクに対処するうえでの懸念と、リスクへの取り組み方について調査した。その結果、データ漏洩を懸念している企業が3分の1、ウイルスとトロイの木馬を挙げた企業が半数以上あった。

　彼らはほぼ全員、Web上の脅威に対する備えを怠っていないと自負しているようだ。だが、実際の対策を見るかぎりは多くの企業で備えが不足していると、フォレスターは指摘する。

　ほとんどの企業は、Webセキュリティ対策として主にゲートウェイURLフィルタリングとアンチウイルス・スキャンを使っていると回答した。だが、ゼロデイ攻撃の防止に有効なビヘイビア解析を使っているのは4社のうち1社にすぎず、ヒューリスティック解析を使ってマルウェアを検出している企業もわずか37％だった。

　「マルウェアとその破滅的な結果を心配しながらも、そのための十分な対策はとられていないようだ」と、同リポートは警告を発している。

　調査対象企業の大多数は、過去1年間にウイルスやスパイウェアの被害にあっている。ネットワーク内にゾンビ・コンピュータを発見した企業も12％に及んでいた。

　フォレスターでは、Web 2.0へのアクセスが原因で消費される帯域幅についても言及している。それによると、半数以上の企業において、帯域幅の少なくとも30％が、MySpaceやFacebookといった仕事とは無関係なSNSサイトに利用されていた。Web帯域の半分以上がこうしたサイトに消費されていると回答した企業幹部も7人に1人の割合に上っている。

　従業員が私的な目的でこれらのサイトにログオンすることから、仕事の生産性低下に悩んでいる企業もある。フォレスターによると、企業が特に苦慮しているのは、SNSの個人利用をはじめ、ユーザー投稿コンテンツ、モバイル・コンテンツ・サービス、マッシュアップを使用したWeb 2.0サービスの全社的な統合、そしてデータ漏洩リスクの増大だという。

　「Web 2.0の普及により、インタラクティブでリッチなコンテンツが多数生まれた。その結果、（新たな脅威に直ちに対応できない企業の）問題は悪化の一途をたどっている。マルウェアの作者たちは、従来のセキュリティ対策では防ぎきれない新たな脅威を大量に広めるため、Webを利用している。（中略）効果的なWeb保護の必要性が今ほど高まったことはない」（フォレスターの調査リポートより）

　ならば、効果的なセキュリティ対策とはどのようなものなのだろうか。フォレスターでは、（1）セキュリティ・ポリシーと保護機能が十分かどうか調べる、（2）Web 2.0サイトをはじめとするインターネット上のコンテンツについて、セキュリティ意識を高めるための教育を従業員に実施する、（3）Web評価サービスやコンテンツ・フィルタリング、複合的なリスク対策、ヒューリスティック法とビヘイビア法によるリスク検出などのWebフィルタリング・テクノロジーを使う、の3つをアドバイスしている。

　一方、セキュア・コンピューティングでは、「SWAT」（Secure Web 2.0 Anti-Threat）という新たなイニシアチブを立ち上げ、顧客のセキュリティ対策を支援している。このイニシアチブは、Webとメッセージングのセキュリティ改善に役立つ調査結果やツール、ソフトウェア、ベスト・プラクティスの提供を目的としているだけでなく、同社のWebゲートウェイ・セキュリティ製品「Webwasher」の継続的開発を後押しする意味も兼ねているという。

(ジョン・ブロドキン／Network World オンライン米国版)