「セキュリティリテラシーは平成初期レベル」 調査で分かったマズい実態：7つのトピックス 2025

「キーマンズネット」編集部は会員427人を対象に読者調査を実施した。第1回はセキュリティの調査内容をまとめる。ランサムウェア被害の実態や企業のセキュリティ課題が明らかになった。この他、読者が遭遇したセキュリティエピソードも紹介する。

[田渕聖人，キーマンズネット]

　「キーマンズネット」編集部は2025年に注目すべきトピックスとして「セキュリティ」「生成AI／データ分析」「コミュニケーション／コラボレーション」「IT人材」「VMware移行問題」「PC事情（AI PC／Windows 11）」「レガシーモダナイズ」の7つのトピックスを抽出し、読者調査を実施した（実施期間：2024年10月25日〜12月6日、有効回答数427件）。企業における2024年のIT投資意向と併せて調査結果を全8回でお届けする。

　第1回のテーマは「セキュリティ」だ。ランサムウェア攻撃が激化する今、サイバー攻撃の被害状況はどう変わり、何がセキュリティ課題となっているのか。調査によって、リアルな実態が明らかになった。記事の最後では、勤務先で実際に起こったトラブルやITリテラシー不足など、セキュリティ課題を尋ねた結果を紹介する。

ランサムウェア被害の確認に一体どうやって気が付いた？

　まずは「この1年で何らかのセキュリティ被害に遭った、もしくは水際で食い止めた経験」の有無を尋ねたところ、回答の多い順に「被害には遭っていない」（72.1％）、「被害を水際で食い止めた」（11.7％）、「分からない」（11.2％）、「被害に遭った」（4.9％）という結果になった。前年の調査と比較すると、目立った変化は見られなかった。

「この1年で何らかのセキュリティ被害に遭った、もしくは水際で食い止めた経験」があったかどうか（出典：キーマンズネットの2024年の読者調査）

　上記の質問に対して「被害に遭った」と回答した読者に対して被害内容について聞いたところ、「外部からのサイバー攻撃」（81.0％）が最も多く、次いで「内部の人為的なミスによる被害」（28.6％）、「内部犯行による被害」（9.5％）と続いた（複数選択可）。

「被害に遭った」と回答した読者が実際に遭った被害内容（出典：キーマンズネットの2024年の読者調査）

　前年の調査（有効回答数424件）では、「外部からのサイバー攻撃」は71.4％、「内部の人為的なミスによる被害」は23.8％、「内部犯行による被害」は19.0％となり、被害企業数自体に大きな変動はないものの、サイバー攻撃は活発化している現状が見て取れる。

　ちなみに「被害に遭った」と回答した読者に「被害に気付いたきっかけ」を聞いたところ、最も多かったのは「セキュリティ専門部署による監視」（52.4％）、「従業員からの通報」（47.6％）、「外注先のベンダーからの通報」（19.0％）、「顧客や取引先からの通報」（14.3％）だった。

　この結果を従業員規模別で見ると、従業員規模が100人以下の企業は「従業員からの通報」が最も多く、従業員規模が5001人以上の企業は「セキュリティ専門部署による監視」が最も多い。予算やリソースなどの理由からほとんどの中小企業はセキュリティ専門部署はおろか専任者を配置できていないケースが多い。こうした企業が従業員や取引先からの通報によって被害を知るという流れは当然だろう。

　次にサイバー攻撃の内容を質問したところ、最も多かったのは「ランサムウェア攻撃（自社経由での被害）」（42.9％）で、「ランサムウェア攻撃（取引先や協力会社などのサプライチェーン経由での被害）」（23.8％）が続いた。前回の調査では「ランサムウェア攻撃」が19.0％だったため大きく増加したことが分かる。

サイバー攻撃被害の内訳（複数選択可）（出典：キーマンズネットの2024年の読者調査）

　この他、「被害に遭った」と回答した読者に対して被害からの回復にかかった期間について聞いた結果、最も多かった順に「1日以上、1週間未満」（28.6％）、「1カ月以上」（28.6％）、「1週間以上、1カ月未満」（19.0％）、「1日未満」（14.3％）、「分からない」（9.5％）、「回復していない」（4.8％）となった。早期に回復できている企業がある一方で、復旧まで1カ月以上かかっている企業もあることから、最近注目を集めているサイバーレジリエンスの重要性がより強調される。

導入したいけど、なかなか導入が進まないセキュリティ製品とは？

　勤務先で抱えているセキュリティ対策における課題を聞いたところ、特に多かった課題としては「セキュリティ対策製品のライセンスや運用管理のコスト増」（39.1％）、「セキュリティ担当者の不足や不在」（35.6％）、「従業員へのセキュリティ教育が十分にできていない」（28.3％）、「投資対効果の説明が難しい」（26.9％）、「セキュリティ対策によってユーザーの利便性が犠牲になる」（20.8％）が挙がった。この並びは前回と同様で企業のセキュリティ対策課題に変化はないことが分かった。

勤め先でのセキュリティ対策に関する課題（複数選択可）（出典：キーマンズネットの2024年の読者調査）

　次に既に導入済みのセキュリティ対策製品や技術について尋ねたところ、最も多かったのは「マルウェア対策（アンチウイルスなど）」（58.1％）だった。2位は「EDR（エンドポイントでの脅威の検出と対応）」（57.1％）、3位は「ファイアウォール」（50.4％）だった。こちらの順位も前回と同様の結果となった。

勤め先で既に導入しているセキュリティ対策製品や技術（複数回答可）（出典：キーマンズネットの2024年の読者調査）

　一方、導入状況が低かった対策は「サイバーハイジーン（衛生管理）」（0.9％）、「サイバーレジリエンス」（1.4％）、「生成AIを組み込んだセキュリティソリューション」（1.9％）、「SBOM（脆弱《ぜいじゃく》性対策に用いるためのソフトウェア部品表）」（2.3％）などが挙がった。新興の概念や技術の導入率はいまだ高くないようだ。なお、ある程度認知が進んでいる「ゼロトラスト」（8.0）や「SASE」（5.9％）も10％を下回った。

　今後、導入を予定しているセキュリティ対策製品や技術についても聞いたところ、最も多かったのは「EDR」（17.8％）、次いで「ゼロトラスト」（10.5％）、「統合ログ管理（SIEMなど）」（9.1％）、「生成AIを組み込んだセキュリティソリューション」（8.7％）、「マルウェア対策（アンチウイルスなど）」（8.7％）という順になった。これらの結果から多くの企業がAIや自動化ツールを駆使してセキュリティ対策を高度化したいというニーズを抱えていることが理解できる。

今後、導入を予定しているセキュリティ対策製品や技術（複数回答可）（出典：キーマンズネットの2024年の読者調査）

「セキュリティリテラシーは平成初期レベル」　読者が直面した課題

　最後に、実際に起こったトラブルや従業員のITリテラシー不足など、勤務先におけるセキュリティ課題をフリーコメントで尋ねた結果を紹介する。

＜データ漏えいにまつわる課題、エピソード＞

• 社用「iPad」の盗難。社用車に置いていたカバンが、車上荒らしの被害で盗難。位置情報も更新されず、設定は実施したがリモートワイプされたかどうかも分からない
• 退職した従業員がUSBメモリを使ってデータを持ち出した
• Web会議で製品アップデートを実施したことにより、背景ぼかしが外れ、子供部屋で仕事をしているのがバレた。セミナーでQ＆Aに投稿した際、名前がバレた。しかも普段利用していないアプリでログインを求められたので、私有IDでログインしたのでハンドルネームがバレた。
• 外部委託した会社のPCが感染し、委託したシステム及びマスターが流出した
• 経営者が長らく「Microsoft Windows XP」がインストールされたPCを使用していた。動作が遅いからと、セキュリティソフトを止めて使用していたところ、ウイルスに感染し、従業員や取引先の電子メールアドレスが流出した

＜従業員のセキュリティリテラシー不足にまつわる課題、エピソード＞

• セキュリティリテラシーは平成初期レベル
• パスワードが長くなると覚えられない、覚えようとしないのでパスワードをキーボードに付箋（ふせん）で貼り付けている
• 「できてしまうこと」と「やっていいこと」を混同し、やってはいけないこと（運用ルールを逸脱）をした
• 共有PCに自身のアカウントでログインしたまま放置してしまうことがある
• 配送ドライバーにスマホを持たせている。不具合の際に社内でサポートした際に“面倒くさいから”という理由でスマホのパスワードをかけずに利用していたことが発覚した。社内のセキュリティリテラシーのレベルの低さが露呈したため、急きょMDMの導入を決めた
• 海外から持ち帰ったUSBを社内ネットワークにある端末で使用してランサムウェアに感染。閉鎖系のセグメントだったためごく一部の端末が被害にあっただけでとどまったため限定的な被害だった
• ITスキルが低い人が大半を占め、何かほんの少しでも行き詰まると連絡がくる
• 経営層が何をポイントにセキュリティ対策への投資を判断してるのか分からない。判断基準というより私自身が試されているように思える。
• いまだにPPAP（パスワード付きZIPファイル）を送ってくる取引先があり、こちらからもPPAPで返信しようとする
• 営業活動帰りに飲み会に参加しPCをバッグごと忘れてきた。探しても見つからなかった。
• 社長がセキュリティホールのため、管理が困難
• EPPやEDRの存在意義について、周知済みだが「分からない」と今さら質問してくる。その上で、独自判断で削除しようとする。PCを使い始めて四半世紀以上たつのに
• セキュリティ教育や脆弱（ぜいじゃく）性対策訓練などが多く、日常業務の妨げになっている