企業のセキュリティ対策が奏功し、被害額が減少--米調査

Robert Lemos(CNET News.com)2004年06月11日 15時28分

 あるコンピュータセキュリティグループが米国時間10日、企業のセキュリティ担当者を対象に行った調査の結果を発表した。セキュリティ対策を強化したことが功を奏し、各企業における、コンピュータの不正使用やセキュリティ関連の被害が減っているという。

 Computer Security Institute(CSI)が、およそ500社のセキュリティ専門家を対象に行った調査の結果を発表した。それによると、サイバー攻撃によって発生した被害額が昨年は1社当たり40万ドルだったのに対し、今年は29万ドルに減少したという。FBIの協力のもとで行った今回の調査では、知的財産の窃盗行為よりもDoS攻撃を受ける方が被害額が大きいと、各社が考えていることが分かった。この変化は、各社が社内ネットワークの守りを強化しつつあることを示す兆候かもしれないと、CSIの編集ディレクターであり今回の報告書の作成者でもあるRobert Richardsonはいう。

 「企業が社内ネットワークを効果的に保護できるようになると、(攻撃する側は)ほかの手段に出るしかない」とRichardsonは述べ、「そこで選ばれた手段の1つが、DoS攻撃だ」と付け加える。

 情報を盗むためには、攻撃者自身がシステムに侵入しなければならない。これと違ってDoS攻撃は、特定のウェブサイトに大量のデータを送り付け、ほかのユーザーがそのサイトにアクセスできないようにする手法である。DoS攻撃がITの最大の脅威とされたのは今回が初めてだ。

 この調査は、CSIにメンバー登録する企業のIT管理者から得た回答を集計したものである。一般的な傾向を示す指標と考えられてはいるが、特定の項目の詳細を知るうえでは信頼性に欠けるとRichardsonは言う。

 「一般的に、この手の調査報告には気を付ける必要がある」と同氏は言う。「たくさんの興味深い事実も分かるが、同時にデータでは説明がつかないような疑問も提示する」(Richardson)

 セキュリティ部門を社内で運営している企業が多く、調査対象企業のうちわずか12%が、自社のセキュリティ業務の20%以上をアウトソースしていると答えた。

 また、大企業は規模の経済効果を享受し、従業員1人当たりのセキュリティ費用を安く抑えられていることも、この調査で分かった。

 年間売上高10億ドル以上の企業では、一般的に従業員1人当たりのセキュリティ費用が平気100ドル強であるのに対し、年間売上高1000万ドル以下の企業では従業員1人当たり平均500ドルも支出している。

 コンピュータセキュリティに関心を払う企業が増えた一因として、政府による新しい規制があることも分かった。Richardsonによると、企業幹部に対して財務報告書の説明責任を負うことを求めるSarbanes-Oxley Actが制定されたため、経営者が情報セキュリティに目を向けるようになった、と金融/公共/情報通信の事業分野の担当者が回答している。

 この調査で、企業に同規制の効果を尋ねるのは、今年が初めてだった。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]