キーマンズネット会員424人を対象に「勤務先のセキュリティ対策状況」を調査した。読者からは「従業員のセキュリティリテラシー不足」や「シャドーITの課題」などセキュリティにまつわる複雑な状況についてエピソードが寄せられた。
キーマンズネット編集部は2024年に注目すべきトピックスとして「セキュリティ」「SaaS」「コミュニケーション/コラボレーション」「生成AI」「システム内製化」「データ活用」「Windows 11」の7つのトピックスを抽出し、読者調査を実施した(実施期間:2023年11月10日〜12月8日、有効回答数424件)。企業における2024年のIT投資意向と併せて調査結果を全8回にわたってお届けする。
第1回のテーマは「セキュリティ」だ。
アンケート調査を基に、キーマンズネット会員が経験したセキュリティインシデントを紹介する。読者からは「従業員の15%が迷惑メールを開封してしまった」「メールアドレスの補完機能に頼ったための誤送信」といった初歩的な課題の他、「顧客からの要請でシャドーITを使わざるを得ない」といった企業間の問題、「セキュリティ対策製品のライセンスや運用管理のコスト増」といった運用の難しさを挙げる指摘が多数寄せられた。記事の後半で会員の声を紹介する。
サイバー攻撃の対策は進んでいる。だが、セキュリティ脅威の増加に追い付いていないようだ。
「この1年で、何らかのセキュリティ被害に遭った、もしくは水際で食い止めたような経験」の有無を尋ねたところ、回答の多い順に「被害には遭っていない」(68.2%)、「分からない」(16.0%)、「被害を水際で食い止めた」(10.8%)、「被害に遭った」(5.0%)だった(図1)。2022年の調査では「被害に遭った」が3.1%だった。
「被害に遭った」「被害を水際で食い止めた」を合算すると15.8%となり、前回調査(2021年11〜12月)と比べて1.9ポイント減、つまりほぼ同水準で推移していると言える。
なお、「被害に遭った」と回答した人に「被害に気付いたきっかけ」を聞いたところ(複数選択可)、最も多かったのは「顧客や取引先からの通報」(33.3%)、「セキュリティ専門部署による監視」(28.6%)であり、次いで「従業員からの通報」(28.6%)、「外注先のベンダーからの通報」(4.8%)と続いた(図2)。前回調査ではセキュリティ専門部署による監視」(55.0%)が最も多く、次いで従業員からの通報(35.0%)だった。つまり、顧客や取引先からの通報が大きくなっていることが分かった。
この1年で「何らかのセキュリティ被害に遭った」と回答した読者に内容を質問したところ(複数選択可)、「外部からのサイバー攻撃」(71.4%)が最も多く、次いで「内部の人為的なミスによる被害」(23.8%)、「内部犯行による被害」(19.0%)が続いた。
さらにサイバー攻撃の内容を質問したところ(複数選択可)、ランサムウェア攻撃と標的型攻撃、ビジネスメール詐欺(BEC)が同率の19.0%で並んだ(図3)。前回はランサムウェア攻撃が40.0%で他の攻撃を大きく引き離していた。
勤務先におけるセキュリティ対策の課題について質問したところ(複数選択可)、最も多かったのが「セキュリティ対策製品のライセンスや運用管理のコスト増」(34.4%)であり、前回調査よりも1.2ポイント増えた。
2位は「セキュリティ担当者の不足や不在」(33.3%)、3位は「従業員へのセキュリティ教育が十分できていない」(27.6%)、4位は「投資対効果の説明が難しい」(25.7%)、5位は「セキュリティ対策によってユーザーの利便性が犠牲になる」(21.9%)と続いた(図4)。
前回の順位はセキュリティ対策製品のライセンスや運用管理のコスト増(32.0%)、セキュリティ担当者の不足や不在(31.9%)、従業員へのセキュリティ教育が十分にできていない(25.8%)だった。
なお、被害に遭ったと回答した人に回復にかかった期間について聞いたところ、「1週間以上、1カ月未満」(38.1%)が最も多く、次いで「1週間以上、1カ月未満」と「1カ月以上」が同率(19.0%)となった。コスト増に対する課題と、回復期間の関係を考えて投資対効果を考える必要があるだろう。
セキュリティ対策製品の導入状況として、どのようなセキュリティ製品を導入済なのかを尋ねた(複数回答可)。
最も多かったのは「マルウェア対策(アンチウイルスなど)」(57.1%)だった。エンドポイントセキュリティ対策として導入しやすく、効果も分かりやすいためだろう。2位は「EDR(エンドポイントでの脅威の検出と対応)」と「ファイアウォール」が同率(50.9%)で並んだ(図5)。
最後に今後、導入を予定しているセキュリティ対策製品を聞いた(複数選択可)。最も多かったのは「EDR」(12.5%)、次いで「次世代ファイアウォール」(8.5%)の順になった。
調査結果から、2024年はこれまでのランサムウェア攻撃、標的型攻撃の対策に加えて、ビジネスメール詐欺にも注力しなければならないだろう。これら3つに有効なのは、(1)従業員と経営層に対する教育とトレーニング、(2)認証の強化や多要素認証の導入、(3)定期的なバックアップ、(4)脆弱性に対応するためのアップデート適用、(5)アクセス制御と権限管理だ。いずれも何らかのソリューションを導入することで実現できる。
セキュリティ対策製品のライセンスや運用管理のコスト増と、セキュリティ担当者の不足や不在といった課題を挙げる企業は多いものの、サイバー攻撃によって事業継続が危なくなる事例は数多い。ベンダーの力を借りながら、自社にとって役立つ計画を立ててほしい。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。