サイバー犯罪による経済損失額が連続して下落傾向に--米調査

　アリゾナ州スコッツデール発--コンピュータ関連犯罪の報道といえば暗いものばかりというのが相場だが、そうした犯罪行為によって企業が受ける被害の平均額は下落し続けていることが、最新の調査で明らかになった。

　Computer Security Institute（CSI）とFBIが発表した2006年の年次調査結果によると、コンピュータ侵入などの犯罪で企業が被った経済的損失は4年連続で減少したという。CSIのエディトリアルディレクターRobert Richardson氏は米国時間6月14日、現地で開催されている「CSI NetSec」カンファレンスに出席し、調査結果に関するプレゼンテーションを行った。

　2005年の調査では、サイバー犯罪による損失額は平均20万4000ドルとなっていたが、2006年は約18％減の16万8000ドルへ下落したと、Richardson氏は述べている。なお、2004年と比べると、平均損失額は実に68％低下している。

　「事態は悪化しているという感覚がある一方、調査では被害額が減少したという事実が判明した。このギャップはどうしたら埋められるのだろうか」と、Richardson氏は問う。その答えは、2006年版の調査結果の中にありそうだ。同調査の最終報告書は7月に公開される。

　調査で明らかになった事実のうち、おそらく最も重要性の高い事柄は、本年度調査の対象となった615名の米国CSI会員がセキュリティインシデントの発生件数が減ったと答えたことだろう。ウイルス感染やラップトップの盗難、社内関係者によるインターネットアクセスの乱用といった問題は、あいかわらず被害報告が非常に多かったが、前年と比べると発生件数は減少した。

　Richardson氏は、「調査グループは、社内関係者がもたらす脅威の深刻度は過大評価されている可能性があると見ている」と話した。事実、回答者の約3分の1が社内関係者の行為による被害は生じていないと答え、29％が同様の被害は全損失の5分の1以下にとどまったとしている。

　ほぼすべての回答者がファイアウォールおよびウイルス対策ソフトウェアを利用していると答えていることから、こうした事態の好転には、セキュリティ技術の継続的な利用が一役買っていると推測できる。セキュリティ技術の利用率は、昨年からそれほど変化していない。また、2006年の調査では、10人のうち8人までがスパイウェア対策を導入していると回答した。この調査項目は、前年度には見られなかったものである。

　「多くの点から、全体的な見通しはきわめて明るいと考えてよいだろう。われわれを長年苦しめてきたウイルスなどによる攻撃は、ある程度沈静化しつつある。調査対象者からは、対策費が減少しているという回答も得ている」（Richardson氏）

　もっとも、「対策費の減少」は一般企業にとっては歓迎すべき傾向だが、セキュリティベンダーはそうはとらえないだろう。今回の調査報告は、IT予算に占めるセキュリティ対策費の割合にも言及している。これによると、回答者の約半数が、IT予算におけるセキュリティ経費の割合を2％以下と答えたという。同割合は、昨年の調査では35％となっていた。