NRIセキュアテクノロジーズ株式会社（本社：東京都港区、代表取締役社長：増谷 洋、以下「NRIセキュア」）は、2010年度に提供した情報セキュリティ対策サービスを通じて得たデータから、｢サイバーセキュリティ：傾向分析レポート2011｣をまとめました。
本レポートでは、企業の情報システムの44%が、ファイアウォール^※1の内側に侵入された場合の攻撃に対して無防備であることや、Webアプリケーション診断を初めて受診する企業のWebサイトの40％が、外部からの攻撃により重要情報の漏えい等を起こし得る危険な状態にあること等の問題提起をしています。

【2011年版レポートにおける分析結果のポイント】

• 4割強のシステムで、ファイアウォールの“内側からの攻撃”に対する備えが不十分であることが判明
  プラットフォーム診断の結果より、インターネットからの脅威に対し、ファイアウォールに大きく依存した対策を行っているシステムが多く、サーバ単体で見ると44%のシステムでは即座に攻撃可能な問題が存在していることが分かりました（図1）。仮にファイアウォールの内側への侵入を許してしまうと、他のサーバを攻撃され、あらゆる情報を詐取される等の被害に繋がる恐れのあるシステムが約半数存在することになります。
• Webアプリケーション診断経験がない企業の4割のWebサイトが危険な状態
  Webアプリケーション診断の結果より、徐々に危険なWebサイトの割合は減少しつつあるものの、未だ31%のWebサイトにおいて重要情報を奪取可能などの重大な問題が存在することを確認しています（図2）。特にWebアプリケーション診断の受診経験がない企業が運営するWebサイトにおいては、40%のWebサイトで重大な問題が存在することを確認しており（図3）、企業間の情報セキュリティ「格差」が存在していると言えます。
• 国内の主要サイトにおいてもマルウェア^※2の検出を確認 昨年マッシュアップ^※3を用いて構成されたWebサイトにおいて、あるアクセス解析サービスを感染経路としたマルウェアによる被害が拡大しました（図4）。たとえ自社のWebサイトのセキュリティ対策自体が完全であったとしても、Webサイトを利用するユーザに被害を及ぼしてしまう可能性があることを認識する必要があります。マネージドセキュリティサービスで管理するウイルスチェックサーバのログより、Webアクセス時にマルウェアを検出したURLのドメイン^※4の30%が.jpドメインのWebサイトであることを確認していますが（図5）、その中には国内の上場企業が保有するドメインが散見されました。
• エスカレートする内部犯行を防ぐには
  故意の情報漏洩が発生する要因を犯罪学の観点から考察すると、情報資産への厳格なアクセスコントロールに加え、業務外でのインターネット利用を抑制することが効果的な対策であると考えられます。3/11に発生した東日本大震災前後の企業内の従業員によるWebアクセスから、業務外利用でのWebアクセスが大半を占めている可能性を窺うことができます（図6）。明らかに業務上不要なWebサイトへのアクセスは禁止し、判断が難しいWebサイトへのアクセスは許可しつつ、そのログを詳細に取得することを対策として挙げることができます。

セキュリティ診断により問題が発見された情報システムについては、NRIセキュアから診断結果とともに具体的な対策案を提示し、早急な対応が行われています。悪質化するサイバー攻撃から、企業のシステムを守るためには、インターネット境界部分やPC端末でのシステム的な対策の徹底もさることながら、従業員の意識を変えるための訓練や演習を含めた、総合的なセキュリティ対策が必要です。

「サイバーセキュリティ 傾向分析レポート2011」は下記Webサイトからご覧ください。
http://www.nri-secure.co.jp/news/2011/0628_report.html

• ※1 ファイアウォール：企業等の組織内のコンピュータネットワークへインターネットを介して外部から侵入されるのを防ぐシステム
• ※2 マルウェア：コンピュータウィルスやワームなど、悪意のある不正なソフトウェアの総称
• ※3 マッシュアップ：複数のWebサービスのAPI（Application Programming Interface）を組み合わせて、新たなWebサイトを構築する手法
• ※4 ドメイン：インターネット上に存在するコンピュータやネットワークを識別するための住所のようなもの

株式会社野村総合研究所　コーポレートコミュニケーション部　海藤、中山
TEL：03-6660-8370　 　　E-mail：kouhou@nri.co.jp

NRIセキュアテクノロジーズ株式会社　テクニカルコンサルティング部　西田、営業企画部　根本
TEL：03-6274-1011　 　　E-mail：info@nri-secure.co.jp

■調査概要

調査方法 ：
NRIセキュアテクノロジーズが、2010年度（2010年4月1日〜2011年3月31日）において、顧客に提供した情報セキュリティ関連サービスから得られたデータを分析している
（セキュリティ診断サービスのデータについては、2006年からの経年分析含む）

分析対象 ：
□マネージドセキュリティサービスで管理する、以下の機器のログ解析

1.ファイアウォール
インターネットに接続された36台分のログを対象

2.IDS（Intrusion Detection System / 侵入検知システム）
顧客のWebサイトを監視する43台分のIDSのログを対象

3.WAF（Web Application Firewall / Webアプリケーションファイアウォール）
149のIPアドレスのWebサイトを保護するWAFのログを対象

4. SPAMフィルタリングサーバ
DMZに配置されたSPAMフィルタリングサーバ中14社分のログを対象

5.ウイルスチェックサーバ
DMZに配置されたURLフィルタリングサーバ中18社分のログを対象

6. URLフィルタリングサーバ
DMZに配置されたURLフィルタリングサーバ中18社分のログを対象

＜マネージドセキュリティサービス＞
NRIセキュアの提供する、社内ネットワークや公開システムとインターネットとの接続において必要となるセキュリティ対策のアウトソーシングサービス

□セキュリティ診断サービスを提供した結果を解析

7.プラットフォーム診断
107システム分^※1のシステム基盤に対する診断結果を対象
うち82システムに対しては顧客環境のファイアウォールを経由した診断（リモート診断）、うち25システムに対しては顧客ネットワーク内から対象機器に直接アクセスした診断（オンサイト診断）を行った。

8.Webアプリケーション診断
229サイト分^※2のWebアプリケーションに対する診断結果を対象

＜セキュリティ診断サービス＞
NRIセキュアの提供する、様々な観点からシステムの安全性を総合的に評価するサービス

• ※1 1つのサービスを提供する機器群を1システムとして集計
• ※2 1つのサービスを提供するサイト群を1サイトとして集計