CSI/FBI 2005 Computer Crime and Security Survey
こんにちは、丸山満彦です。「武田圭史のセキュアーで行こう!」を見ていて気づきました。いつもこれを見逃すんですよね。。。でも、今年で10年目ですか・・・
■Computer Security Institute (CSI)
・10th CSI/FBI Survey Shows Cybercrime Losses Down For Fourth Straight Year (2005.07.14)
CSIとFBIが共同で作成していますね。10年目です。このように毎年調査をすると時系列での傾向がわかってよいですね。表題は2005年ですが、調査時期は2004年です。
武田さんも書いていますが、この調査はサンプルが母集団を代表しているわけではないので、あくまで傾向としてみるのがよいと思います。数字になるとどうしても一人歩きをしてしまうので気をつけなくてはならないですね。(と言いながら、数字で説明するのですが・・・)
さて、
●IT投資に占めるセキュリティ関連費用 (Figure5)
・5%以下が約半数
・10%以上は8%
●規模別従業員一人当たりのセキュリティ関連費用(Figure7)
・規模が大きいほど少ない
・・売上高10億円以下 約65,000円/従業員
・・売上高 1兆円以上 約25,000円/従業員
●業種別従業員一人当たりのセキュリティ運用費用と投資(Figure8)・重要インフラ(連邦政府、電力等、交通機関、通信事業)が多い。
・ただし、地方政府は少ない
・・連邦政府 [運用費用]約35,000円/従業員 [投資額]約15,000円/従業員
・・電力等 [運用費用]約20,000円/従業員 [投資額]約 6,000円/従業員
・・交通機関 [運用費用]約20,000円/従業員 [投資額]約 3,000円/従業員
・・通信事業 [運用費用]約13,000円/従業員 [投資額]約 7,000円/従業員
・・地方政府 [運用費用]約 4,000円/従業員 [投資額]約 1,000円/従業員
●攻撃や利用ミス(Figure14)
・全体的に減少
・とりわけ「内部者によるネットの乱用」、「DOS」、「不正アクセス」が減少
・PC紛失は約50%
Comments
私は、まじめに読んだのは、今年がはじめてだったりします
それはさておき、リーガルへの連絡の比率も段々低下しているというのは、ちょっとショックでした。アメリカでリーガルをそんなに軽視していいのという感じでしたから。
イメージ等の低下による企業への損害を気にしているとのことでしたが、やはり正直な報告が、その企業を守るみたいなことにしていかないとうまくいけませんよね。
情報漏洩事件では、弁護士は、とにかく責任について否認させて、事実は、明らかにしないというようにアドバイスしているように伺えます。わが国での制度を考えるとそのアドバイスは、結果オーライなんですよね。(でも、多分、企業を守ったとして、ヤリテの弁護士と評価されるんでしょうね-正論ではないとしてもです)
そのような社会システムにメスをいれるところから、セキュリティ文化というのを考えたいところです。
Posted by: 高橋郁夫 | 2005.07.29 23:56
高橋先生、コメントありがとうございます。
Fig.21の説明のあたりですね。私も本当のところはどうなのかよくわかりません。
うーん。
Posted by: 丸山満彦 | 2005.07.30 10:10