総務省がウェブサービスを提供する企業におけるID・パスワードの管理・運用実態について調査した結果を取りまとめました。

それによる結果概要は以下の通り。

（1）約9割のサービスで3種類以上の文字種をパスワードとして利用できる

（2）パスワードの最大桁数が12桁未満のサービスが約4分の1存在する

（3）パスワードのハッシュ化の実施率が低い

（4）同一IPアドレスからのログイン試行回数制限の実施率が低い

特に（3）、（4）に関しては、約半数以上の企業が対策しておらず、不正アクセスによる情報流出の危険性がかなり高まっていると言えます。

それに関連してか不正ログイン被害の経験割合も3割から5割に上る企業があると答えております。

不正アクセスの被害経験（グラフ：総務省）

ただし調査結果以上に目を引いたのは、調査の概要の中にある調査対象と備考の内容です。

調査の概要 （参照：総務省）

企業200社弱に対して調査の協力を依頼したのですが、最終的に28社からの回答しか得られませんでした。

その理由を総務省はこう考えております。

各個社に対し、本調査は匿名で集計・公表する旨告知した上で調査を依頼したが、不正アクセス の被害有無やパスワードの内部管理方法といった機微な情報に関する調査であることから、回答 を控える企業が多かった。

つまり、十分な対策を施せていない企業ほど、匿名にもかかわらず調査協力をしなかったというわけです。

ですので、現実はこの調査結果をさらに下回る集計結果になっただろうと予測できます。

自分たちの対策が不十分だと認識しており、また不正アクセスの経験があり、それが後ろめたいことだと感じ、事実の発表を避けることによりより大きなセキュリティ事故に発展することも少なくありません。

担当者レベルの責任ではなく、いち企業の責任ととらえ、まずは現状把握をし、オープンにセキュリティ対策を考えてみては如何でしょうか。

それこそが、セキュリティ被害を食い止めるためのファーストアプローチかもしれません。