企業のセキュリティ担当者が評価した「2005年の情報漏洩事件の認知度と事後対応」を発表

報道関係者各位

平成１８年１月２４日
ネットアンドセキュリティ総研株式会社
リンク
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ＮＳ総研、企業のセキュリティ担当者が評価した
「2005年の情報漏洩事件の認知度と事後対応」を発表

～価格.com不正アクセス、米クレジットカード情報漏洩、
　　　　　　　　　　　　　　80%以上が事後対応は不適切と評価～

【詳細】 リンク
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


■■ 概要 ■■

インターネットビジネスの総合シンクタンクであるネットアンドセキュリティ
総研株式会社（代表取締役　原 隆志　東京都港区）は、セキュリティ担当者
が評価「2005年の情報漏洩事件の認知度と事後対応」調査結果を発表します。
アンケート調査は、2005年12月8日～22日にかけて、セキュリティマネジメン
ト専門誌「Scan Security Management」読者を対象に実施しました。

調査結果によると、「価格.com 不正アクセス・サイト閉鎖」と「米マスター
カード」4,000万件以上の個人情報流出」事件の認知度が特に高く、また事後
対応は不適切であったとする回答が多く集まりました。

調査結果から２つの大きなポイントが指摘されました。

　・「価格.com」「米カード」事件の認知度が高い

　・事後対応についての評価が厳しいのも「価格.com」「米カード」など
　　の事件　80%以上が事後対応が不適切と評価

【詳細】 リンク


■■ 調査結果の概要 ■■

　2005年は4月から個人情報保護法が施行されたにも関わらず、各種情報漏洩
事件が新聞紙上を騒がせ続けた。そこで、企業のセキュリティ管理者が主な購
読者層である「Scan Security Management」誌において緊急アンケートを行い、
2005年に起こった主な情報漏洩事件の認知度、企業側の対応について聞くこと
にした。

　取り上げた事件は、

＜事件1＞
『みずほ銀行やUFJ銀行を騙るフィッシングメール
（2005年3月 リンク ）』
＜事件2＞
『「価格.com」不正アクセス・サイト閉鎖
（2005年5月 リンク ）』
＜事件3＞
『女性サイト「OZmall」不正アクセス・サイト閉鎖
（2005年5月 リンク ）』
＜事件4＞
『「米マスターカード」4,000万件以上の個人情報流出
（2005年6月 リンク ）』
＜事件5＞
『楽天市場店舗「AMC」36,239件の個人情報流出
（2005年7月 リンク ）』
＜事件6＞
『三菱重工業の協力会社、技術者の個人PCからWinnyで原発情報流出
（2005年8月 リンク ）』

の6つである。それぞれの事件についてどれだけ知っているか、また、事後の
企業側の対応についてどう思うかを尋ねた。

表1
以下のセキュリティ関連事件を、どのくらいご存知ですか？
（単一回答、n＝92、％）　

　■事件1　■事件2　■事件3　■事件4　■事件5　■事件6
(A)　9.8　　　　　15.2　　　20.7　　　　7.6　　　　22.8　　　　17.4
(B)　35.9　　　　23.9　　　32.6　　　18.5　　　　37.0　　　　27.2
(C)　30.4　　　　41.3　　　39.1　　　25.0　　　　31.5　　　　46.7
(D)　10.9　　　　14.1　　　5.4　　　　23.9　　　　6.5　　　　8.7
(E)　13.0　　　　5.4　　　　2.2　　　25.0　　　　　2.2　　　　0.0

(A)事件の内容について非常に詳しく知っている
(B)事件の内容についてやや詳しく知っている
(C)事件の概要を知っている
(D)内容については知らないが事件を耳にしたことがある
(E)全く知らない


>> 「価格.com」「米カード」事件の認知度が高い

　寄せられた回答は、さすがにセキュリティ管理者のものらしく、ほとんどの
事件について何らかのかたちで知っていると答えている。中でも特に関心の高
かったものは、「価格.com」「米カード」事件で、内容について「非常に詳し
く知っている」「やや詳しく知っている」との回答が合わせて過半数（それぞ
れ59.8%、53.3%）を占めた。長きにわたってサイトが運営停止状態に追い込ま
れた「価格.com」、4000万件という空前の規模の情報流出となった「米カード」
事件は企業、顧客ともに大きな被害を受けたこともあり、セキュリティ管理者
にも高い関心を呼んだようだ。
逆に認知度がいまひとつだったのは、「Ozmall」事件で、「非常に詳しく」
「やや詳しく」は合わせて26.1%にとどまり、「知らない」という答えが25%に
も及んだ。事件自体は不正アクセスを許した上にサイト内容を改ざんされると
いう深刻なものだったが、出版社による女性読者向けサイトということもあり
メディアの扱いも小さく、知名度の点で関心が低くなったものと思われる。

表2
以下のセキュリティ関連事件について、企業の事後対応を
どのように思われますか？
（単一回答、n＝92、％）

　　■事件1　■事件2　■事件3　■事件4　■事件5　■事件6
(A)　　　　0.0　　　　1.1　　　　1.1　　　　2.2　　　　4.3　　　　　1.1
(B)　　　5.4　　　　15.2　　　　16.3　　　　15.2　　　18.5　　　　28.3
(C)　　45.7　　　　38.0　　　　31.5　　　　39.1　　　15.2　　　　51.1
(D)　　22.8　　　　27.2　　　　23.9　　　　14.1　　　27.2　　　　10.9
(E)　　　15.2　　　　9.8　　　　21.7　　　　　3.3　　　29.3　　　　4.3
(F)　　　10.9　　　　8.7　　　　5.4　　　　　26.1　　　　5.4　　　　4.3

(A)非常に適切だったと思う
(B)まあまあ適切だったと思う
(C)どちらとも言えないと思う
(D)やや不適切だったと思う
(E)非常に不適切だったと思う
(F)事件のことを知らない


表3
以下のセキュリティ関連事件について、当事者（企業）に
どのくらいの責任があると思われますか？
（単一回答、n＝92、％）

　　■事件1　■事件2　■事件3　■事件4　■事件5　■事件6
(A)　　　50.0　　　35.9　　　57.6　　　　12.0　　　　34.8　　　14.1
(B)　　　33.7　　　40.2　　　28.3　　　　39.1　　　　50.0　　　30.4
(C)　　　　8.7　　　15.2　　　10.9　　　　19.6　　　　7.6　　　　27.2
(D)　　　　1.1　　　2.2　　　　1.1　　　　3.3　　　　　6.5　　　　21.7
(E)　　　　6.5　　　6.5　　　　2.2　　　　1.1　　　　　1.1　　　　6.5

(A)責任は大きいと思う
(B)責任はあると思う
(C)どちらともいえないと思う
(D)責任はあまりないと思う
(E)責任はないと思う


>> 対応についての評価が厳しいのも「価格.com」「米カード」などの事件
>> 80%以上が事後対応が不適切と評価

　続いて事件発生後の企業側の対応についてだが、どの事件でも厳しい評価が
並んだ。「適切だったと思う」の合計が「不適切」を上回ったのは「フィッシ
ングメール」事件だけであり、これとて最も多かった回答は「どちらとも言え
ない」（51.1%）だった。直接は企業のセキュリティ面に責任がない詐欺事件
であったことが、「甘い」評価に繋がったのかもしれない。そして最も悪い評
価を受けたのが「価格.com」事件で、「やや不適切だったと思う」「非常に不
適切だったと思う」の合計が実に56.5%と散々なものであった。事件後の社長
による「過失はない」発言や、攻撃を受けてからの情報公開の遅れ、サイト復
旧までかなり時間がかかったこと、などが厳しい評価を受けた原因だろう。以
下、「米カード」（45.6%）、「AMC」（37%）が続いた。いずれも企業の危機
管理能力に疑問が残る事件であった。

　総じていえることは、情報漏洩事件を起こした企業に向けられる目はやはり
厳しい、ということである。セキュリティ管理者としての立場から考えれば、
「事件を未然に防ぐ」のが当たり前であって、事が起こったあとでに適切な処
理を行うのは企業としての最低限の義務であり、もはや評価する対象ではない
という思いがこの結果に表れているのではないだろうか。


■調査概要

調査方法　：インターネットリサーチ
調査対象　：Scan Security Management読者より任意回答
調査期間　：2005年12月8日（木）～12月22日(木)
有効回答数：92件

　アンケート回答者の職種分布では、「技術職（コンピュータ関連）」28.3％、
「プログラマ/SE」19.6％と、半数近くに及ぶ47.9％が、技術職の従事者。ま
た、「経営者/役員」3.3％、「総務/法務」4.3％といった、個人情報漏洩事件
に関心の高い層が多く含まれている。

表4
アンケート回答者の職種
（単一回答、n＝92、％）
────────────────
技術職（コンピュータ関連）　28.3
────────────────
プログラマ/SE　　　　　　　　　19.6
────────────────
その他　　　　　　　　　　　　　　9.8
────────────────
企画/マーケティング　　　　　8.7
────────────────
事務職　　　　　　　　　　　　　　5.4
────────────────
研究職　　　　　　　　　　　　　　5.4
────────────────
総務/法務　　　　　　　　　　　　4.3
────────────────
技術職（非コンピュータ関連）3.3
────────────────
経営者/役員　　　　　　　　　　3.3
────────────────
財務/経理　　　　　　　　　　　　2.2
────────────────
営業/販売　　　　　　　　　　　　2.2
────────────────
製品開発　　　　　　　　　　　　　2.2
────────────────
現在働いていない　　　　　　　5.4
────────────────

【詳細】 リンク


■■ Scan Security Managementの詳細 ■■

────────────────────────────────
商品名　　：Scan Security Management
────────────────────────────────
提供形態　：メールマガジン（分量、毎回600行前後）
────────────────────────────────
配信日　　：毎週火曜日
────────────────────────────────

「Scan Security Management」は、顧客情報の漏洩事件などにより、現在注目
の高まっているセキュリティの各種規格・制度に特化したセキュリティマネジ
メント専門誌です。現在、セキュリティマネジメントを領域とする週間の専門
誌は同誌のみとなっています。

インターネットセキュリティに関する規格・法制度の仕組み/内容を解説し、
さらに認証取得の際のポイントを事例紹介とともに掲載しています。執筆人は
第一線で活躍中の弁護士、監査法人、公的機関、海外情報機関など多岐にわた
ります。企業のセキュリティご担当者の方はもちろん、総務、法務ご担当者の
方から官公庁の方まで幅広い読者の皆様にご支持をいただいております。

■セキュリティマネジメント専門誌「Scan Security Management」
━━━━━━━━━━━━━━
サンプル・詳細は… リンク
━━━━━━━━━━━━━━

■セキュリティ専門誌「Scan」媒体概要（広告料金表など）
━━━━━━━━━
リンク (PDF file)
━━━━━━━━━


■■ ネットアンドセキュリティ総研株式会社 ■■

・設　 立：1996年10月
・資 本 金：151,450,000円（2003年11月20日現在）
・代 表 者：代表取締役　原 隆志
・事業内容：インターネットビジネスの総合シンクタンク
・取扱商品：・企業様のweb、メールマガジンのコンテンツ企画、制作、運
　　　　　　　用、顧客対応業務の代行
　　　　　　・セキュリティ製品レビュー、ウイルス情報、セキュリティホ
　　　　　　　ール情報、インシデント情報など幅広くセキュリティ情報を
　　　　　　　提供
　　　　　　・情報通信市場、ネットビジネスに特化した独自調査の企画、
　　　　　　　受託、調査資料の制作・販売
　　　　　　・インターネットリサーチの実施および事業立ち上げ支援
　　　　　　　サービスなど
・Ｕ Ｒ Ｌ： リンク
・連 絡 先：〒106-6138
　　　　　　東京都港区六本木6-10-1六本木ヒルズ森タワー38F
　　　　　　株式会社ライブドア内
　　　　　　TEL:03-5770-4417 / FAX:03-5770-4419
　　　　　　 info@ns-research.jp


■■ この件に関するお問い合わせ ■■

〒106-6138
東京都港区六本木6-10-1 六本木ヒルズ森タワー38階
ネットアンドセキュリティ総研株式会社
株式会社ライブドア内
TEL: 03-5770-4418 / FAX: 03-5770-4419
担当：鶴間
info@shop.ns-research.jp