「分かっているのにやってしまう」 セキュリティ行動経済学

日本ビジネス層はセキュリティ認識と行動に大きな隔たりがあり、約半数が無意識のリスクにさらされていることが分かった。VPN認知度の低さや若年層のフィッシング、長時間労働層の公共Wi-Fi利用、生成AIへの情報入力など、日本人特有の危険行動が顕著だという。来日したNordVPNのCTOに聞いた。

[宮田健，キーマンズネット]

　テレワーク環境などで仕事に取りかかる際に、従業員がサイバー防衛をするにはどうすればよいだろうか。企業がゼロトラストネットワークアクセス（ZTNA）環境を提供していれば問題はあまりないだろう。または企業が提供するVPNを利用すれば社内へのアクセスは比較的安全になる。

　ではテレワーク環境などで社内にアクセスしていないときはどうなるのだろうか。

VPNの利用で何が防げるのか

• NordVPNとは何か
• 調査から見る無意識のセキュリティリスク
• 日本人特有のリスク行動とは
• 自動保存機能とCookieの危険性
• 公共Wi-Fi利用とルーターの脆弱性
• 技術だけでは守れない

　サイバーセキュリティツールを提供する「NordVPN」は、ビジネスパーソンを対象とした最新のサイバーセキュリティ意識調査の結果を紹介し、日本市場特有の課題と対策について議論するラウンドテーブルを2025年10月7日に開催した。

　最高技術責任者（CTO）のマリユス・ブリエディス氏が来日し、調査結果から明らかになった日本人の無意識な行動に潜むセキュリティリスクを読み解き、適切なサイバーハイジーンの重要性を強調した。ラウンドテーブルでの発表内容をレポートしよう。

「分かっているのにやってしまう」　セキュリティ行動経済学

　登壇したNordVPN 日本カントリーマネージャーの小原拓郎氏は、同社の活動を「誰もが安全で自由にインターネットを利用できる社会の実現を目指す」と述べた。同社はVPNサービスのNordVPNに加え、パスワードマネジャーの「NordPass」、クラウドストレージの「NordLocker」、法人向けVPNの「NordLayer」など、サイバーセキュリティツールの総合的なエコシステムを構築している。ブリエディス氏も「NordVPNは単なるVPN製品ではなく、サイバーセキュリティの総合的なアプリケーションとして、皆さんの日々の活動を常に守る」と述べる。

図　NordVPNの歴史

　NordVPNの主な特徴をブリエディス氏は強固なセキュリティ機能だと語る。同社のブランド価値は、「テクノロジーで人々の役に立つ」ことと「プライバシー最優先」の徹底だ。ユーザーの活動についての知識を獲得しない「ゼロ知識」インフラストラクチャを採用している。いかなる状況でもユーザーの活動を監視しないという「ノーログ」ポリシーを堅持し、この取り組みはDeloitte Audit Lithuaniaなどの第三者機関により、定期的な監査によって継続的に透明性が確保されていると述べる。

図　NordVPNが目指すもの

　NordVPNの機能は多岐にわたる。「脅威対策Pro」（Threat Protection Pro）では、ダウンロードファイルのスキャンやフィッシング詐欺、悪質なWebサイト、広告、トラッカーのブロックを統合的に実行する。さらに、デバイス間でプライベートネットワークを構築できる「メッシュネットワーク」や、認証情報がダークWebに漏えいしていないかどうかを監視する「ダークWebモニタリング」なども提供している。

図　NordVPNの多様な機能

　これに加え、ブリエディス氏は新しいプロトコル「NordWhisper」に言及した。これは通常のWebトラフィックのように見せかける難読化技術を利用しており、VPNだということを検知されにくい。将来的な量子コンピュータによる暗号技術への脅威に対抗するために、テレビデバイスを含む全アプリケーションに対量子暗号化技術を導入したことも紹介した。

図　検出を避けるプロトコル「NordWhisper」

最新の調査から見る「無意識のセキュリティリスク」

　続けて同氏は日本のビジネスパーソンのセキュリティリスクについて紹介した。

　NordVPNは2024年8月にサイバーセキュリティ意識につての調査を実施した。対象は日本の20〜60代のビジネスパーソン1000人だ。この調査では、日本におけるセキュリティの「認識」と実際の「行動」に大きな乖離（かいり）があることが浮き彫りとなった。

　ビジネスパーソンの約半数（約47.1％）が「無意識のセキュリティリスク」にさらされており、さらにセキュリティに自信があると回答した約70％が、同時に危険な行動を取っているという実態が明らかになった。

　調査では69％がVPNとは何なのかを知らなかった。VPN認知度は31％だったが、その一方で、実際に利用しているのはわずか13％にとどまり、グローバルと比較して低いことが分かった。この利用率の低さが、オンラインリスクへの意識と対策の大きなギャップにつながっているという。

図　日本におけるVPN認知度と利用目的

日本人特有のリスク行動とは

　日本特有の事情として、幾つかのリスク行動が突出していることが調査から分かった。そのうち幾つかを次に紹介する。

フィッシングリスク　若年層で突出

　20〜30代の若い世代では、全般的に無意識のセキュリティリスク行動が高い傾向が見られた。特に20代のフィッシングメールに対するリスク行動は17.00％に上り、全体平均（10.20％）の約1.7倍と突出していた。個人が利用するクラウドサービスに業務データを保存するリスクも、20代では38.70％と顕著な数値を示した。

　フィッシングのリスクに関して、ブリエディス氏は、フィッシングの目的がID盗難や金銭略奪、マルウェアのインストールだと説明した上で、利用者に向け「クリックする前に、考え直してほしい」と注意を喚起した。

長時間残業層のリスク行動と生成AIの課題

　残業時間が月40時間以上だと答えた層では、公共Wi-Fiを使って機密資料を確認・作成するという回答が平均の約2.3倍（13.00％）に上るなど、リスクの高い行動を取る割合が他の層と比べて高い傾向が見られた。Webブラウザの自動保存の利用（53.80％）や個人契約のクラウドへの業務データ保存（42.30％）などの行動も高い水準を示した。

　特に企画・マーケティング職では、生成AIに業務情報や個人情報を入力するリスク行動が64.30％に達しており、これは全体平均（29.70％）の約2.2倍と突出していた。ブリエディス氏は、AIの時代にあって重要な認識として、「AIに渡した情報はチャットbotであれ、AIツールであれ、サービス側にずっと保持されていると認識しておく必要がある」と警告した。フィッシングの注意喚起になぞらえ、「AIの利用も、入力する前にもう一度考え直してほしい」と、チェックを促した。

自動保存機能とCookieの危険性

　日本特有の課題の背景には、利便性を追求するあまり、セキュリティリスクを認識しながらも危険な行動を選択してしまう傾向がある。

　調査では、クッキー（Cookie）やオートフィルなどを利用したWebブラウザやアプリケーションの自動保存機能に潜むリスクを認識している回答は、わずか34.60％にとどまることが分かった。その一方で、リスクを理解しながらも自動保存機能を利用しているという回答は54.40％と、2人に1人のビジネスパーソンが利用している実態が判明した。これらに比べて安全性の高いパスワードマネジャーの活用率は24.10％と低水準だ。

　OSやWebブラウザに保存された情報は、「インフォスティーラー」と呼ばれるマルウェアの標的だ。ブリエディス氏はCookieなどに自動保存された情報の危険性について、ダークWebには940億点以上のCookieが漏えいしており、そのうち2億5000万点以上が日本のユーザーのものだと述べた。2000万点は現在もアクティブで攻撃に利用可能な状態にあるという。同氏は「できる限りCookieを削除することだ。パスワードマネジャーなど、Cookie以外の形でパスワードを管理することを推奨する」と述べた＊。

＊「Google Chrome」や「Microsoft Edge」などのWebブラウザはPCのローカルストレージに高度な暗号化を施して自動保存されたパスワードを保管している。つまり、Cookieにパスワードそのものを保管してはいない。ただし、漏えいしたCookieは攻撃者に悪用される可能性がある。ユーザー（被害者）がWebサイトにログインする際にWebサイトが発行したセッションCookieを攻撃者がインポートすると、ユーザーになりすますことができるからだ。アクティブ（新鮮）なCookieであればパスワードや多要素認証をスキップしてユーザーのアカウントに不正アクセス（ログイン）できる（キーマンズネット編集部）

図　自動保存機能は危険と知りながら利用されている

やっぱりダメ？　公共Wi-Fi利用とルーターの脆弱性

　危険と知りつつ、外出先の仕事で公共Wi-Fiを利用しているという回答は、全体の40.90％を占めた。そのうち、機密資料を確認・作成するという回答が7.20％、重要作業は避けつつも利用するという回答が24.3％だった。

　ブリエディス氏は、公共Wi-Fiで起こる中間者攻撃のリスクを解説して、「公共Wi-Fiに関するこれらの数字を聞いたならば、ちゃんとVPNを使っていただけることに期待したい」と述べた。

図　公衆Wi-Fiを危険と知りながら利用が続いている

　公衆Wi-Fiに関しては、HTTPS（TLS）が普及したことでリスクが減ったと言及されることが多い。これにについてブリエディス氏は、Webサイト以外のトラフィックが必ずしも暗号化されているとは限らないこと、またTLS 1.2ではトラッキングやアクセスWebサイトの情報の漏えいを防げないことから、完全な保護のためにはVPNが不可欠だと技術的な観点から強調した。

　自宅のWi-Fiルーターについても見落としがあるという。「リスクがある」と認識していない、または設定方法が分からないまま利用しているという回答が6割以上だったからだ。SSIDや管理パスワードを初期設定のまま利用しているケースは23.50％に達しており、多くのビジネスパーソンが脆弱（ぜいじゃく）なセキュリティ設定を放置している実態が明らかになった。

　ブリエディス氏はルーターに対する攻撃による深刻な危険性を指摘し、「ルーターへの攻撃を防ぐことができなければ、攻撃者は好きなことがやり放題だ」と強く警告し、「今日自宅に帰ったら、ルーターをちゃんとアップデートしてほしい」と呼び掛けた。

技術だけでは守れないからこそ

　ブリエディス氏は組織のセキュリティにおける最大の課題は、従業員の意識にあると指摘した。企業の情報セキュリティは従業員の誰か一人がフィッシングに引っかかるなど、最も弱い部分の脆弱性の程度で決まってしまう。

　同氏は最後に、経営者層に向けたメッセージとして、VPNの活用やデータ損失防止（DLP）対策などの技術は重要であるとしつつも、「一番の防止策となるのは、現状認識向上のための啓発、教育」だとして、啓発と教育の重要性を改めて強調した。小原氏は今後もさまざまな調査や情報発信を通じて、「社会にこのセキュリティの大事さというところを啓発していきたい」と意欲を表明した。

　ブリエディス氏は最後に、サイバーセキュリティを維持するための最も簡潔で重要なメッセージを発した。

　「Stay safe」（引き続き安全に過ごしてください）

（左）NordVPN 日本カントリーマネージャー 小原拓郎氏　（右）NordVPN 最高技術責任者（CTO）マリユス・ブリエディス氏