セキュリティ侵害の多発で膨らむ被害額（コンピュータ・セキュリティ研究所）

　コンピュータ・セキュリティ研究所（CSI）は3月12日、米連邦捜査局のコンピュータ不正侵入対策班の協力を得てコンピュータのセキュリティ侵害に関する報告書を発表した。調査対象となったのは、米国の政府機関や大学など538の組織だ。

国際海外情報

2001.3.22 Thu 12:00

　コンピュータ・セキュリティ研究所（CSI）は3月12日、米連邦捜査局のコンピュータ不正侵入対策班の協力を得てコンピュータのセキュリティ侵害に関する報告書を発表した。調査対象となったのは、米国の政府機関や大学など538の組織だ。

　同報告書によると、調査対象となった85％が昨年（2000年）不正侵入を検知し、64％がその不正侵入により経済的損失を被ったと回答した。セキュリティ侵害の内容は、機密データの窃取からサービス使用不能攻撃、従業員のインターネット不正使用まで多岐に渡っている。また、セキュリティ侵害による被害額を算定できると回答したのはわずか35％で、昨年の総被害額は3億7800万ドルを上回った。同研究所の2000年報告書の総被害額は2億6600万ドルとなっており40％以上の増加となった。

　CSIの所長Patrice Rapalus氏は「今回、報告された数値は、実際の金銭的損失額を正確に表すものではない。何故なら、セキュリティ侵害がもたらす実質的な被害額を算出するのは非常に困難だからだ。例をあげると、同種、同規模の企業2社が同じサイバー攻撃を受けたとする。1社は被害額を100万ドルと発表するかもしれないが、もう1社は2名の技術者が修復に6日間かけたのみと報告するかもしれない。しかし、被害額の歴然たる増加は、この種の問題の大きさを測る良いバロメータになるだろう」と述べた。

　さらに「コンピュータ・セキュリティ問題の意識は年々高くなっているが、依然としてセキュリティ対策を怠っている企業が多い。企業は、セキュリティ担当者の養成やユーザ教育に取り組むべきだ。重要なのは、技術的な問題そのものではなく、教育と自覚だ。自身のパスワードを犬の名前にする人物が安全なシステムを乱す原因となり得る」と指摘した。