IPAは3月30日、「重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書」と「2008年度第2回 情報セキュリティに関する脅威に対する意識調査報告書」の2つのセキュリティ調査報告書を公開した。
「重要インフラの制御システムセキュリティとITサービス継続に関する調査」は、電力、ガス、水道、鉄道といった"重要インフラ"における制御システムに対して、標準プロトコル/汎用製品が導入されてきたことや、情報システムとの連携が行われるようになったことなどを受けて実施された調査。国内制御機器ベンダや国内の大学、海外の政府機関/研究機関などにヒアリング等を行い、現状と課題をまとめている。
報告書では、情報システムと制御システムにおけるセキュリティ上の違いについて触れたうえで、制御システムセキュリティの課題として次の3点を挙げている。
- オープン化に伴う脆弱性のリスク混入
- 製品の長期利用に伴うセキュリティ対策の陳腐化
- 可用性重視に伴うセキュリティ機能の絞込み
さらに米国の取り組みなども参考にしながら、今後のセキュリティ対策の方向性として、以下の4点を挙げている。
- 制御システムセキュリティのガイドライン確立
- 制御機器ベンダおよび事業者に対する啓発
- セキュリティ検証環境の整備
- 国際協調の必要性
一方、「情報セキュリティに関する脅威に対する意識調査」は、PCでのインターネット利用者のセキュリティ意識を調べるためのもの。Webアンケート形式で今年1月16日~19日まで行われ、15歳(高校生)以上の男女5000名から回答を得ている。
調査は、USBメモリにおけるセキュリティ対策、無線LANにおけるセキュリティ対策、一般的な情報セキュリティ対策の3分野に対して行われた。
これらのうち、USBメモリの調査では、回答者5000人のうちの60%弱が現在USBメモリを使用していると答えているものの、USBメモリに対してウィルスチェックをかけると答えたのは20%未満にとどまり、約3人に1人はまったくセキュリティ対策を実施していないという結果となった。
また、無線LANの調査では、通信の暗号化を行っていない利用者が12%いたほか、「暗号化を行っているかどうかわからない」と答えた利用者も29.5%に上った。また、暗号化を行っている利用者の中にも、クラッキングソフトが出回っているWEP(Wired Equivalent Privacy)を使っているユーザーが21.7%も存在しているなど、問題が多いことが明らかになっている。
そして、情報セキュリティ一般では、セキュリティソフトのパターンファイルを1ヶ月以上も更新していない利用者が8.9%に及んだうえ、手動更新の設定にしているがいつ更新したかわからないと答えた利用者も1.8%存在し、「更新が適切でないと考えられるユーザーが10%強含まれる」と説明されている。
情報セキュリティに関する脅威に対する意識調査報告書では、そのほかにも多くの調査結果が盛り込まれている。こちらのサイトで公開されているので、興味のある方はご覧になるとよいだろう。