あるコンピュータセキュリティグループが米国時間10日、企業のセキュリティ担当者を対象に行った調査の結果を発表した。セキュリティ対策を強化したことが功を奏し、各企業における、コンピュータの不正使用やセキュリティ関連の被害が減っているという。
Computer Security Institute(CSI)が、およそ500社のセキュリティ専門家を対象に行った調査の結果を発表した。それによると、サイバー攻撃によって発生した被害額が昨年は1社当たり40万ドルだったのに対し、今年は29万ドルに減少したという。FBIの協力のもとで行った今回の調査では、知的財産の窃盗行為よりもDoS攻撃を受ける方が被害額が大きいと、各社が考えていることが分かった。この変化は、各社が社内ネットワークの守りを強化しつつあることを示す兆候かもしれないと、CSIの編集ディレクターであり今回の報告書の作成者でもあるRobert Richardsonはいう。
「企業が社内ネットワークを効果的に保護できるようになると、(攻撃する側は)ほかの手段に出るしかない」とRichardsonは述べ、「そこで選ばれた手段の1つが、DoS攻撃だ」と付け加える。
情報を盗むためには、攻撃者自身がシステムに侵入しなければならない。これと違ってDoS攻撃は、特定のウェブサイトに大量のデータを送り付け、ほかのユーザーがそのサイトにアクセスできないようにする手法である。DoS攻撃がITの最大の脅威とされたのは今回が初めてだ。
この調査は、CSIにメンバー登録する企業のIT管理者から得た回答を集計したものである。一般的な傾向を示す指標と考えられてはいるが、特定の項目の詳細を知るうえでは信頼性に欠けるとRichardsonは言う。
「一般的に、この手の調査報告には気を付ける必要がある」と同氏は言う。「たくさんの興味深い事実も分かるが、同時にデータでは説明がつかないような疑問も提示する」(Richardson)
セキュリティ部門を社内で運営している企業が多く、調査対象企業のうちわずか12%が、自社のセキュリティ業務の20%以上をアウトソースしていると答えた。
また、大企業は規模の経済効果を享受し、従業員1人当たりのセキュリティ費用を安く抑えられていることも、この調査で分かった。
年間売上高10億ドル以上の企業では、一般的に従業員1人当たりのセキュリティ費用が平気100ドル強であるのに対し、年間売上高1000万ドル以下の企業では従業員1人当たり平均500ドルも支出している。
コンピュータセキュリティに関心を払う企業が増えた一因として、政府による新しい規制があることも分かった。Richardsonによると、企業幹部に対して財務報告書の説明責任を負うことを求めるSarbanes-Oxley Actが制定されたため、経営者が情報セキュリティに目を向けるようになった、と金融/公共/情報通信の事業分野の担当者が回答している。
この調査で、企業に同規制の効果を尋ねるのは、今年が初めてだった。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」