他社からの指摘でサイバー攻撃が明るみに 「検知」がまだ甘い

キーマンズネット会員424人を対象に「勤務先のセキュリティ対策状況」を調査した。読者からは「従業員のセキュリティリテラシー不足」や「シャドーITの課題」などセキュリティにまつわる複雑な状況についてエピソードが寄せられた。

[畑陽一郎，キーマンズネット]

　キーマンズネット編集部は2024年に注目すべきトピックスとして「セキュリティ」「SaaS」「コミュニケーション／コラボレーション」「生成AI」「システム内製化」「データ活用」「Windows 11」の7つのトピックスを抽出し、読者調査を実施した（実施期間：2023年11月10日〜12月8日、有効回答数424件）。企業における2024年のIT投資意向と併せて調査結果を全8回にわたってお届けする。

　第1回のテーマは「セキュリティ」だ。

調査サマリー

• 2023年にセキュリティ脅威に遭遇した人は15.8％
• セキュリティ対策の課題として製品のライセンスや運用管理のコスト増を34.4％の回答者が挙げた。次いで33.3％がセキュリティ担当者の不足や不在を回答した
• シャドーITの課題は必ずしも従業員個人に原因があるのではない

　アンケート調査を基に、キーマンズネット会員が経験したセキュリティインシデントを紹介する。読者からは「従業員の15％が迷惑メールを開封してしまった」「メールアドレスの補完機能に頼ったための誤送信」といった初歩的な課題の他、「顧客からの要請でシャドーITを使わざるを得ない」といった企業間の問題、「セキュリティ対策製品のライセンスや運用管理のコスト増」といった運用の難しさを挙げる指摘が多数寄せられた。記事の後半で会員の声を紹介する。

顧客や取引先からの通報で初めて気が付く

　サイバー攻撃の対策は進んでいる。だが、セキュリティ脅威の増加に追い付いていないようだ。

　「この1年で、何らかのセキュリティ被害に遭った、もしくは水際で食い止めたような経験」の有無を尋ねたところ、回答の多い順に「被害には遭っていない」（68.2％）、「分からない」（16.0％）、「被害を水際で食い止めた」（10.8％）、「被害に遭った」（5.0％）だった（図1）。2022年の調査では「被害に遭った」が3.1％だった。

図1：セキュリティ被害に遭遇したかどうか

　「被害に遭った」「被害を水際で食い止めた」を合算すると15.8％となり、前回調査（2021年11〜12月）と比べて1.9ポイント減、つまりほぼ同水準で推移していると言える。

　なお、「被害に遭った」と回答した人に「被害に気付いたきっかけ」を聞いたところ（複数選択可）、最も多かったのは「顧客や取引先からの通報」（33.3％）、「セキュリティ専門部署による監視」（28.6％）であり、次いで「従業員からの通報」（28.6％）、「外注先のベンダーからの通報」（4.8％）と続いた（図2）。前回調査ではセキュリティ専門部署による監視」（55.0％）が最も多く、次いで従業員からの通報（35.0％）だった。つまり、顧客や取引先からの通報が大きくなっていることが分かった。

図2：セキュリティ被害に気付いたきっかけ

ビジネスメール詐欺がランサムウェア攻撃や標的型攻撃と並ぶ

　この1年で「何らかのセキュリティ被害に遭った」と回答した読者に内容を質問したところ（複数選択可）、「外部からのサイバー攻撃」（71.4％）が最も多く、次いで「内部の人為的なミスによる被害」（23.8％）、「内部犯行による被害」（19.0％）が続いた。

　さらにサイバー攻撃の内容を質問したところ（複数選択可）、ランサムウェア攻撃と標的型攻撃、ビジネスメール詐欺（BEC）が同率の19.0％で並んだ（図3）。前回はランサムウェア攻撃が40.0％で他の攻撃を大きく引き離していた。

図3：被害に遭ったサイバー攻撃の内容

課題の中でコスト増がトップに

　勤務先におけるセキュリティ対策の課題について質問したところ（複数選択可）、最も多かったのが「セキュリティ対策製品のライセンスや運用管理のコスト増」（34.4％）であり、前回調査よりも1.2ポイント増えた。

　2位は「セキュリティ担当者の不足や不在」（33.3％）、3位は「従業員へのセキュリティ教育が十分できていない」（27.6％）、4位は「投資対効果の説明が難しい」（25.7％）、5位は「セキュリティ対策によってユーザーの利便性が犠牲になる」（21.9％）と続いた（図4）。

　前回の順位はセキュリティ対策製品のライセンスや運用管理のコスト増（32.0％）、セキュリティ担当者の不足や不在（31.9％）、従業員へのセキュリティ教育が十分にできていない（25.8％）だった。

図4：勤務先におけるセキュリティ対策の課題

　なお、被害に遭ったと回答した人に回復にかかった期間について聞いたところ、「1週間以上、1カ月未満」（38.1％）が最も多く、次いで「1週間以上、1カ月未満」と「1カ月以上」が同率（19.0％）となった。コスト増に対する課題と、回復期間の関係を考えて投資対効果を考える必要があるだろう。

＜データ漏えいにまつわる課題、エピソード＞

• 海外拠点で新型コロナ対応のため、急いで導入したVPN機器（UTM）に脆弱（ぜいじゃく）性があり、それを悪用されてランサムウェアに侵入された。そのランサムウェアにより社員情報などの機密データが漏えいした
• VPNでのサーバ接続ができず、USBメモリにデータを保存して自宅に持ち帰ろうとしたケースがあり、直前で露見した。これがきっかけでVPN接続方法がより簡易なものになるよう見直された
• 私物USBを隠れて使っている管理者がいる
• Amazon Web Services（AWS）からメール情報漏えいの可能性に関する連絡があった
• 退職する従業員がファイルを大量にクラウドストレージにコピーしようとしていた
• メールアドレス補完機能によって、cc先に別の会社のアドレスを入れてしまった。既に使われていなかったアドレスだったので、エラー返信で気が付いた
• 営業先リストのExcelファイルをメールで社員宛に送るときに、メールアドレスの頭文字を入力して出てくる履歴から送信したため、誤送信した
• プライベートメールアドレスへの情報転送など情報漏えいに関する穴がある
• 機密管理対象のファイルにパスワード付与しない人がいる

＜従業員のセキュリティリテラシー不足にまつわる課題、エピソード＞

• Emotetが流行したとき、迷惑メールを開封してしまったという報告が社内で相次ぎ、注意喚起したところ、「実は、私も開封しました」という報告がさらにあり、結局従業員の15％が開封していた（社長もその中の一人）
• 従業員が怪しいメールに添付されたzipファイルを怪しいと思いつつわざわざ解凍してしまった。アンチウイルスソフトウェアによってファイルは隔離されたが肝を冷やした
• SaaSアプリケーションを子供のPCで開き、それを子供が学校で操作してしまった
• 脆弱性に関する危険性の認識が不足しており、アップデートの重要性が理解されない

＜私用端末の無断利用にまつわる課題、エピソード＞

• 私物のモバイルルーターを会社のLANに接続し、ネットワークをダウンさせた
• 勝手にDHCPででたらめなアドレスが配布され、社内のネットワークが利用できなくなった
• 会社として私用端末利用を推奨しているが、セキュリティ対策を実施していない
• 使用端末が社内ネットワークに接続しないように、自由に利用できるWi-Fiを用意している

＜ネットワーク分散にまつわる課題、エピソード＞

• シンクライアント端末を利用している従業員が一斉にZoomを利用すると、トラフィックが集中してネットワーク遅延が発生した
• 拠点のインターネットブレークアウト構成を集中管理に変更した。分散を集中に変えて領域を防御した
• 構成が複雑になり障害発生時の切り分けに時間を要する
• 本社側の拠点間VPN専用ルーターがなぜか床に直置き設置されていてコンセントを引っ掛けて停止させた人がいる
• クラウドの経費がかさみ、一部を社内やデータセンターに持ち込むなど、分散に苦労した
• 地方自治体は国が定めている「三層分離」の原則に縛られている。国に対して、技術的にセキュリティを確実にした上で通信を可能とする条件などを基準に追加することを強く要望したい

＜シャドーITにまつわる課題、エピソード＞

• 部門独自のサービス選定・導入は認められていないが、それでも導入されてしまうケースが多々発生している。機能だけで一番安いプランで問題ないと判断されてしまうケースが多いが、ID管理やシングルサインオン（SSO）対応などで後々問題になる
• 無償版が存在するサービスを勝手に使い、それを基に正式導入を進めた結果、最低限のセキュリティを保つには有償ライセンスが必要と後になってから分かった。予算を取っていないのでそのまま使い続けてしまい、公式シャドーITになってしまい困っている
• 顧客からの要請で、システム部門が許可していないクラウドシステムを使わざるを得ない状況がある
• 顧客のEDI（電子データ交換）など、情報システム部門が知らないところで利用されているサービスがあり、ここにセキュリティリスクがある
• 社内ネットワークに接続するリモート保守回線が敷設されており、そこから不正アクセスをされた
• テスト用の無償契約のクラウド環境が乗っ取られた
• シャドーITを上回るサービスを導入したらシャドーITの多くが駆逐された

導入予定のセキュリティ製品のトップは「EDR」

　セキュリティ対策製品の導入状況として、どのようなセキュリティ製品を導入済なのかを尋ねた（複数回答可）。

　最も多かったのは「マルウェア対策（アンチウイルスなど）」（57.1％）だった。エンドポイントセキュリティ対策として導入しやすく、効果も分かりやすいためだろう。2位は「EDR（エンドポイントでの脅威の検出と対応）」と「ファイアウォール」が同率（50.9％）で並んだ（図5）。

図5：勤務先で既に導入しているセキュリティ対策製品

　最後に今後、導入を予定しているセキュリティ対策製品を聞いた（複数選択可）。最も多かったのは「EDR」（12.5％）、次いで「次世代ファイアウォール」（8.5％）の順になった。

　調査結果から、2024年はこれまでのランサムウェア攻撃、標的型攻撃の対策に加えて、ビジネスメール詐欺にも注力しなければならないだろう。これら3つに有効なのは、（1）従業員と経営層に対する教育とトレーニング、（2）認証の強化や多要素認証の導入、（3）定期的なバックアップ、（4）脆弱性に対応するためのアップデート適用、（5）アクセス制御と権限管理だ。いずれも何らかのソリューションを導入することで実現できる。

　セキュリティ対策製品のライセンスや運用管理のコスト増と、セキュリティ担当者の不足や不在といった課題を挙げる企業は多いものの、サイバー攻撃によって事業継続が危なくなる事例は数多い。ベンダーの力を借りながら、自社にとって役立つ計画を立ててほしい。