不正アクセスに関するアンケート報告書INDEXへ

参考


<参考> 情報セキュリティに関する日米の現状比較

2000年3月に発表された米国CSI社(Computer Security Institute)がFBIと共同で実施した情報セキュリティに関する実体調査と今回の調査とを、類似する項目について比較することにより日米のセキュリティの現状と、わが国が今後取り組むべき課題を参考までにあげてみた。


1、 回答者のプロフィール比較
 a.従業員規模
今回調査では、従業員規模500人未満の回答者が比較的多かったのに対し、米国の調査では5000人以上の回答者が多く、大規模の企業・団体になるほど情報セキュリティに関して積極的な態度であることが伺える。
今後、情報システムが社会基盤化してゆくことを考慮すると、より多くの大手企業・団体がこのような取り組みに積極的に係わる必要性があろう。
 b.業種比較
回答者を業種毎に比較すると、日米では顕著な差が出た。 ひとつは、米国に比べて製造業の比率が圧倒的に高いことである。これは、日本の産業構造と密接な関連があると思われる。また、米国では多いサイバー関連からの回答が少ないことも特徴としていえよう。 同様に、金融など情報化が急速に進んでいる分野において、日本に比べ米国の方が回答者数も多いところに、情報セキュリティに対する取り組み方の温度差が現れているように伺える。

2、 不正アクセス被害について
 a.不正アクセスは誰が行っているのか
今回の調査では、ハッカーなど外部の不明侵入者が50.7%と圧倒的に多く、次いで外国企業・国内企業の順に多いのに対して、米国では不満をもつ従業員によるものが最も多く、次いで外部のハッカー、外国企業、外国政府の順となっている。
 b.不正アクセスで金銭的な被害はどうか
日本では、ウイルス感染が多く51.3%、次いでメールの不正中継、踏み台となっているのに対し、米国でも最多はウイルス感染であるが、二番目・三番目は同率でノートPCの盗難とネットの濫用となっている。
 c.不正アクセス被害に際しての届け出をしなかった理由

日本では、「被害が軽微であった」、「社内で対応できた」「(届け出ても)問題解決にならない」などの理由で届けをしなかったというものが多いが、米国では「企業の評判が悪くなる」「競合企業に利用される」「思いつかなかった」などとなっている。
双方ともに、「届け出ない」が多数派であることを見ると、不正アクセス被害を社会的な問題として共有する意味で、関係各所に積極的に届け出るよう、個々のユーザが理解する必要がある。

3、 情報セキュリティ体制などについて
 a.今回、「セキュリティ運用・管理のための体制の有無」が調査されている。 66.9%がそのような体制を持っていないと回答している。 米国においてもセキュリティ管理・運用のための組織作りが大きな問題となっている。 しかし、多くの大手企業はその必要性を認識し、徐々に最終的な報告先(おもに情報担当役員 CIO)を頭とする組織体制を構築しつつある。 たとえば、第26回CSI主催 セキュリティカンファレンスにおいては、ダウケミカル社の情報セキュリティ組織体制が紹介されており、長い年月をかけた試行錯誤の結果として、同様の組織を構築しようとするユーザにとっての参考になっていた。 (QUE社刊 “Tangled Web” Richard Power著 p231~p248に詳しい記述がある)


情報セキュリティの確保にあたっては、不正アクセス被害の有無に係わらず、ユーによる情報共有の仕組みが欠かせないといえる。 米国では、業界単位のISAC(Information Sharing and Analysis Center) 情報共有の仕組みが徐々に構築されつつあり、平成12年末までに既に金融・情報通 信など4つの分野についてISACが設置され、被害を防ぐための情報共有が進んでいる。 わが国においても、官民協力のもとこのような情報共有の仕組みを構築し、今後ますますふえることが予想される不正アクセスを、未然に防ぐ努力が早急に必要とされている。


コメント: NTTデータ・セキュリティ株式会社 コンサルティング本部 副本部長 佐藤 淳