ニュース

「組織内でパッチの適用状況を確認していない」企業が47.3%、IPA調査

 独立行政法人情報処理推進機構(IPA)は27日、企業を対象としてセキュリティ対策の現状や被害状況に関する調査をまとめた「2013年度 情報セキュリティ事象被害状況調査」の報告書を公開した。

 調査は、1989年度から毎年実施しているもので、今回が24回目。業種別・従業員数別に抽出した企業を対象として、2013年8月~10月に郵送調査により行ったもので、回答数は1881社。各企業の2012年度(2012年4月~2013年3月)のセキュリティ対策の状況やサイバー攻撃による被害状況などを調査している。

 クライアントPCへのセキュリティパッチの適用状況については、「常に適用し、適用状況も把握」が36.0%である一方、「常に適用する方針・設定だが実際の適用状況は不明」が31.3%、「各ユーザーに適用を任せている」が16.7%と、実際に適用状況を確認していない割合は47.3%と半数近くに上った。

 前回調査と比較すると、「常に適用し、適用状況も把握」が約2ポイント、「常に適用する方針・設定だが実際の適用状況は不明」が約5ポイント増加しており、セキュリティパッチ適用の重要性は浸透したものの、実際の適用状況まで見届けることの重要性までは理解が進んでいないことしている。

セキュリティパッチ適用の有無

 情報セキュリティ対策の社内体制として、「専門部署(担当者)がある」は15.7%で前回調査と同様だが、「兼務だが担当責任者が任命されている」は56.6%で前回調査49.6%から7ポイント上昇した。組織内のセキュリティ対策教育についても、「特に実施していない」と回答した割合は前年度調査より減少しており、組織内において対策の必要性が認識されているとしている。

 ウイルス遭遇率は71.5%で、前回調査の68.4%から若干増加。ウイルスの侵入経路は、ウェブサイト閲覧が最も多く63.2%(前回56.4%)、続いて電子メールが51.7%(前回52.2%)、USBメモリ等の外部記憶媒体が38.0%(前回45.5%)となっている。私物のUSBメモリなどの社内ネットワークへの接続は、「禁止している」もしくは「届け出に応じた許可制としている」企業が67.3%となった。

 スマートフォンやタブレット端末を業務に利用している企業は40.6%で、前回調査より11.1ポイント増加。一方、こうした端末セキュリティ対策については、「紛失・盗難時のデータ消去」が37.5%、「セキュリティソフトの導入」が33.9%、「MDMによる端末管理」が30.0%で、前回調査時から進展が見られないとしている。

三柳 英樹