企業のセキュリティ対策が奏功し、被害額が減少--米調査

　あるコンピュータセキュリティグループが米国時間10日、企業のセキュリティ担当者を対象に行った調査の結果を発表した。セキュリティ対策を強化したことが功を奏し、各企業における、コンピュータの不正使用やセキュリティ関連の被害が減っているという。

　Computer Security Institute（CSI）が、およそ500社のセキュリティ専門家を対象に行った調査の結果を発表した。それによると、サイバー攻撃によって発生した被害額が昨年は1社当たり40万ドルだったのに対し、今年は29万ドルに減少したという。FBIの協力のもとで行った今回の調査では、知的財産の窃盗行為よりもDoS攻撃を受ける方が被害額が大きいと、各社が考えていることが分かった。この変化は、各社が社内ネットワークの守りを強化しつつあることを示す兆候かもしれないと、CSIの編集ディレクターであり今回の報告書の作成者でもあるRobert Richardsonはいう。

　「企業が社内ネットワークを効果的に保護できるようになると、（攻撃する側は）ほかの手段に出るしかない」とRichardsonは述べ、「そこで選ばれた手段の1つが、DoS攻撃だ」と付け加える。

　情報を盗むためには、攻撃者自身がシステムに侵入しなければならない。これと違ってDoS攻撃は、特定のウェブサイトに大量のデータを送り付け、ほかのユーザーがそのサイトにアクセスできないようにする手法である。DoS攻撃がITの最大の脅威とされたのは今回が初めてだ。

　この調査は、CSIにメンバー登録する企業のIT管理者から得た回答を集計したものである。一般的な傾向を示す指標と考えられてはいるが、特定の項目の詳細を知るうえでは信頼性に欠けるとRichardsonは言う。

　「一般的に、この手の調査報告には気を付ける必要がある」と同氏は言う。「たくさんの興味深い事実も分かるが、同時にデータでは説明がつかないような疑問も提示する」（Richardson）

　セキュリティ部門を社内で運営している企業が多く、調査対象企業のうちわずか12％が、自社のセキュリティ業務の20％以上をアウトソースしていると答えた。

　また、大企業は規模の経済効果を享受し、従業員1人当たりのセキュリティ費用を安く抑えられていることも、この調査で分かった。

　年間売上高10億ドル以上の企業では、一般的に従業員1人当たりのセキュリティ費用が平気100ドル強であるのに対し、年間売上高1000万ドル以下の企業では従業員1人当たり平均500ドルも支出している。

　コンピュータセキュリティに関心を払う企業が増えた一因として、政府による新しい規制があることも分かった。Richardsonによると、企業幹部に対して財務報告書の説明責任を負うことを求めるSarbanes-Oxley Actが制定されたため、経営者が情報セキュリティに目を向けるようになった、と金融／公共／情報通信の事業分野の担当者が回答している。

　この調査で、企業に同規制の効果を尋ねるのは、今年が初めてだった。