情報処理推進機構(IPA)は1月27日、情報セキュリティ関連の被害実態および対策の実施状況等を把握し、適切な情報セキュリティ対策の普及・啓発活動を推進するため、「2013年度 情報セキュリティ事象被害状況調査」を実施。その調査結果を発表した。

調査対象は業種別・従業員数別に抽出した約1万4000企業で、調査期間は2013年8月から10月(調査対象期間は2012年4月から2013年3月)、調査方法は郵送による調査で行なわれた。返送された回答数は1881件で有効回収率が13.4%だった。

発表によると、クライアントパソコンへのセキュリティパッチの適用状況は、「常に適用し、適用状況も把握」が36.0%である一方、「常に適用する方針・設定だが実際の適用状況は不明」は31.3%「各ユーザに適用を任せている」が16.7%と、実際に適用状況を確認していない割合は47.3%と約半数に上った。

昨年までのデータと比較すると「常に適用し、適用状況も把握」は約2ポイント、「常に適用する方針・設定だが実際の適用状況は不明」は約5ポイント上昇しているが、これはセキュリティパッチ適用の重要性は浸透したものの、実際の適用状況まで見届けることの重要性までは理解が進んでいないことを示しているという。

情報セキュリティ対策の社内体制として、「専門部署(担当者)がある」は15.7%で前回調査と同様だが、「兼務だが担当責任者が任命されている」は56.6%と、前回の49.6%から7ポイント上昇した。これは「組織的には行っていない(各自の対応)」(14.8%)が前回(21.3%)より6.5ポイント減少したことも合わせ、社内体制の整備は進展していることが伺える。

また、組織内の「役員」「正社員」「契約社員」の情報セキュリティ対策教育の実施状況を2011年度と比較すると、「特に実施していない」の割合がいずれも減少(「役員」△6.1%「正社員」△4.7%「契約社員」△2.7%)しており、組織内において対策の必要性が認識され、教育の実施率が向上していることがわかった。

ウイルス遭遇率は71.5%と前回の68.4%から若干の増加。ウイルスの侵入経路をみると、最も多いのがウェブサイト閲覧で前回の56.4%から63.2%へと6.8ポイント増加し、続いて電子メール51.7%(前回52.2%)、USBメモリ等の外部記憶媒体38.0%(前回45.5%)となった。

私物のUSBメモリ等を社内ネットワークに接続する際の運用ルールを聞いたところ、「禁止している」もしくは「届け出に応じた許可制としている」企業は67.3%。一方、「禁止していない」は28.9%だった。

スマートフォンやタブレット端末を業務に利用している企業は40.6%と前回より11.1ポイント増加。セキュリティ対策については、「紛失・盗難時のデータ消去」が37.5%、「セキュリティソフトの導入」が33.9%、「MDMによる端末管理」が30.0%と、技術的な対策は30%台に留まり、前回調査時から進展が見られず、また、「利用ルールの策定」は45.6%と運用面での対策実施率も半数以下だった。