メディア
ニュース
» 2020年01月15日 13時30分 公開

セキュリティ担当者の悩みは令和になっても変わらない? 2020年、導入したいセキュリティ対策はコレ

セキュリティ対策はどこまでやっても終わらない。キーマンズネット会員1329人を対象に「勤務先のセキュリティ対策状況」を調査した。2020年に導入意向が高い注目のセキュリティ製品が浮かび上がった。

[岡田大助,キーマンズネット]

 キーマンズネット編集部では2020年に注目すべきトピックスとして「セキュリティ」「クラウド活用」「情報共有」「DX人材」「AI導入」「RPA」「働き方改革」の7つのトピックスを抽出し、読者調査を実施した(実施期間:2019年11月22日〜12月20日、有効回答数1329件)。企業における2020年のIT投資意向と併せて調査結果を全8回でお届けする。

 第2回のテーマは「セキュリティ」だ。

調査サマリー

  • 2019年にセキュリティ脅威に遭遇した人は17.5%、前年調査から3.8ポイント減
  • セキュリティの課題上位5つはほぼ変わらず、コスト増がトップ
  • 導入予定のセキュリティ製品で「EDR」と「セキュアブラウザ」が大幅な伸び

2019年は脆弱な認証がさまざまなサービスで狙われた

 2019年も大きなセキュリティインシデントが発生した。セブン&アイ・ホールディングスのバーコード決済サービスとして2019年7月1日にリリースされた「7pay」は、スタート直後からアカウントハッキングが相次ぎ、9月30日にはサービス終了へと追い込まれた。不正チャージなどによる被害総額は3861万5473円(2019年7月31日17時時点)だった。

 同じく7月には、ヤマト運輸の会員向けサービス「クロネコメンバーズ」に対する不正ログインが発覚した。約2800万人が登録するサービスに対して約3万回の不正ログインが試行され、3467件が被害に遭った。同社の報告によれば氏名や住所の他にクレジットカード情報(番号の下4桁、有効期限、カード名義)が盗み見られた可能性がある。

 7pay事件は、脆弱(ぜいじゃく)な認証システムがやり玉に挙げられ、メディアを通じて「二要素認証(多要素認証)」や「二段階認証」などの重要性が認知された。クロネコメンバーズ事件の手口はパスワードリスト攻撃とみられ、あらためてパスワードの使いまわしリスクが注目された。

 さて、キーマンズネット会員の周囲ではどのような被害が発生しただろうか。「この1年で、何らかのセキュリティ被害に遭った、もしくは水際で食い止めたような経験」の有無を尋ねた。回答の多い順に「被害には遭っていない」(67.7%)、「分からない」(14.8%)、「被害を水際で食い止めた」(12.3%)、「被害にあった」(5.2%)となった。

セキュリティ被害 何らかのセキュリティ被害に遭った、もしくは水際で食い止めたような経験(n=1329)

 「被害にあった」「被害を水際で食い止めた」を合算すると17.5%となり、2018年調査と比べて3.8ポイント減だった。2年連続で被害に遭ったと答える人が減少したが、これに安心するのは早計かもしれない。攻撃の手口は高度化、巧妙化の一途をたどっているからだ。

 なお、「被害に遭った」と回答した人に「被害に気付いたきっかけ」を聞いたところ、最も多かったのは「従業員からの通報」(40.6%)だった。以下、「セキュリティ専門部署による監視」(29.0%)、「顧客や取引先からの通報」(20.3%)と続いた。

気付いたきっかけ セキュリティ被害に気付いたきっかけ(n=69)

セキュリティ課題に大きな改善は見られず

 勤務先におけるセキュリティ対策の課題について質問したところ、最多となったのは「セキュリティ対策製品のライセンスや運用管理のコスト増」(36.0%)、2番手は小差で「セキュリティ担当者の不足や不在」(35.9%)だった。この2つは例年順位を入れ替えながら上位を占める。

 3位には「投資対効果の説明が難しい」(28.5%)、4位には「従業員へのセキュリティ教育が十分にできていない」(28.3%)、5位には「セキュリティ対策によってユーザーの利便性が犠牲になる」(25.4%)と続く。この3つはほぼ例年同様の結果で、セキュリティ教育の3.8ポイント減が目立つが全体的に大きな変動は見当たらない。

勤務先におけるセキュリティ対策の課題 勤務先におけるセキュリティ対策の課題(n=1329)

 フリーコメントを見ると「日本法人に決定権がない」という悩みがある一方で、「海外子会社で問題が発生し、それが日本側にも波及する」というトラブルもあったようだ。他にも「お客さまのデータ管理についてのリテラシー教育」「IoTデバイスのセキュリティ対策」「SDN導入によるゼロトラスト対策が不十分」といった新しいキーワードも寄せられた。

 「ノーガード戦法」というコメントもあったが、課題の多さに対する諦めの境地を吐露したものだろうか。「サイバーノーガード戦法」というネット用語が生まれて約16年、なつかしくもある。

導入したいセキュリティ製品に「EDR」が急上昇

 最後にセキュリティ対策製品の導入状況と投資意向を見てみよう。まず、セキュリティ製品を導入済みの回答者1250人を対象に、どのようなセキュリティ製品を導入しているのか複数回答で尋ねた。

 最も多いのは「マルウェア対策(アンチウイルスなど)」(91.7%)だった。セキュリティ対策の基本中の基本であり、「Windows 10」にも標準で「Windows Defender」が搭載されていることもあって導入率9割超えには納得感がある。2位に「ファイアウォール」(67.7%)、3位に「フィルタリング」(51.4%)が入り、もはやトップ3は不動の様相を呈す。4位以下についても多少の順位の変動こそあれ、大勢に大きな変化は見当たらない。

導入しているセキュリティ対策製品 勤務先で既に導入しているセキュリティ対策製品(n=1250、複数回答)

 では今後導入を予定するセキュリティ製品はどうだろうか。セキュリティ製品の導入予定があると答えた人125人を対象に導入意向を聞いた。同率1位で「マルウェア対策(アンチウイルスなど)」(27.2%)と「EDR(エンドポイントでの脅威の検出と対応)」が並んだ。回答数が大きく違うので直接比較はできないが、EDRは2019年調査で6.5%に過ぎなかったのでジャンプアップといえるだろう。

 もう1つ順位を大幅に上げたのは4位タイに入った「セキュアブラウザ」(16.0%)だ。政府の旗振りもありリモートワークを導入する企業が増え、スマートフォンのようにPC以外の端末の利用も当たり前になりつつある中で、情報漏えい対策としてデータを端末に残さないセキュアブラウザへの期待が高まっているのかもしれない。

導入したいセキュリティ対策製品 勤務先でこれから導入したいセキュリティ対策製品(n=125、複数回答)

 2020年は本格的にリモートワーク導入が進む可能性が高い。これまでのセキュリティの基本だったネットワークの「ウチ」と「ソト」を定めて守る境界対策が曖昧になり、セキュリティ管理者の目が届かなくなるケースも増えるだろう。「ゼロトラスト」のような新しい考え方が古い常識を塗り替える日も近いかもしれない。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。