従業員よりセキュリティが「ダメな情シス」 調査で見つかってしまう
情シスはサイバーセキュリティや生成AIについて従業員に助言を与えたり、管理したりする立場にある。だが、調査によれば従業員よりも好ましくない行動を取る場合があることが分かった。
情報システム部門の悩みの一つは、従業員のITリテラシーやセキュリティ意識が低いことだろう。
だが、情シス自身はどうなのか。フィッシングメールへの対応や、生成AIの利用方法は十分なのだろうか。
全世界1710人(日本の150人)を対象とした調査からは、情シス(ITリーダーを含む)の行動が適切でない場合が見つかった。
セキュリティが「ダメな情シス」 調査で見つかってしまう
サイバーセキュリティ関連の運用に強みがあるArctic Wolfが2025年10月15日(現地時間、以下同)に発表した報告書「Human Risk Behavior Snapshot」によると(注1)、IT部門の上級管理職のおよそ3分の2がフィッシングリンクをクリックした経験を持っていた。そのうち17%はクリックした事実を報告していなかったという。
さらにITリーダーの約10%は複数のフィッシングリンクをクリックしていたにもかかわらず、報告していなかった。
報告をためらう背景について、Arctic Wolfは「処罰や解雇への恐れが消極的な態度につながっている可能性がある」とした。
ITリーダーの4分の3以上は「当社はフィッシング攻撃には引っかからない」と自信を示していた。
特に危険なのはスピアフィッシングメール
Arctic Wolfの報告書はフィッシングのうち、特にスピアフィッシングに警戒しなければならないと結論付けている。ITリーダーなど攻撃者にとって価値の高いターゲットを狙うため、攻撃者はスピアフィッシングメールを使う。スピアフィッシングメールはあらかじめ収集した詳細情報(業務の細かい内容や部署や上司の名前、取引先の情報)に基づいて攻撃対象ごとに個別に作成された非常に信用できるフィッシングメールだ。同社が500億通のメールを分析した結果によると、スピアフィッシングはメール全体の0.1%未満と少ないものの、攻撃に成功したメールの66%がスピアフィッシングメールだった(キーマンズネット編集部)
問題はフィッシング攻撃だけではない。ITリーダーの69%はサイバー攻撃の標的になった経験がある。攻撃の内訳は39%がフィッシング攻撃、35%がマルウェア、31%がソーシャルエンジニアリングによる攻撃だった。
生成AIの利用でもダメだった
この調査にはAIの利用状況やポリシーに関する質問もある。ITリーダーの60%は「ChatGPTなどの生成AIに機密情報を共有したことがある」と回答しており、これは同様の行為を報告した従業員の割合(41%)を上回っていた。
従業員の57%は「自社には、生成AIに関連する利用ポリシーがある」と答えていたが、残りの43%は「分からない」または「自社にそのようなポリシーはないと思う」と回答していた。なお、「利用ポリシーがある」と回答したITリーダーは100%ではなく、88%にとどまった。
「このようなギャップは、AIツールの利用に伴うリスクに関するコミュニケーションや意識向上のためのトレーニングが不足していることを示している。組織は自社のポリシーを明確に伝え、確実に運用するとともに、AI技術が自社のデータやネットワーク全体にもたらすリスクをユーザーが理解できるよう支援するためのトレーニングを提供しなければならない」(Arctic Wolfの研究者)
ITリーダーの52%はAIツールによる機密データの漏えいを懸念しており、さらに56%は、それらのツールの悪用に対して不安を抱いていると報告した。
「AIは現在、組織に重大なリスクをもたらさない」と回答したITリーダーは10%と少なかった。
Arctic Wolfの調査は日本を含む17カ国の中堅・中小企業や大企業に勤める855人のITとセキュリティのリーダー、855人のエンドユーザーを対象として2025年7月に実施された。
調査結果には世界中のデータ侵害の発生状況に関する情報もある。日本のITリーダーで過去12カ月間に1回以上の侵害を経験したと回答した割合は77%だった。これはオーストラリアとニュージーランド(78%)やカナダ(72%)などと近い値だ。
2024年から2025年にかけて侵害件数が最も増加したのはオーストラリアとニュージーランドで、侵入被害を報告した組織の割合は2024年の56%から2025年には78%へと大幅に上昇した。一方、米国では侵害を報告した組織の割合は横ばいで推移し、北欧諸国ではやや減少、カナダではわずかに増加した。
出典:Many IT leaders click phishing links, and some don’t report them(Cybersecurity Dive)
注1:Human Risk Behavior Snapshot(Arctic Wolf)
関連記事
企業のパスワードはこうして盗まれる 13の手口を徹底解説
パスワードを盗み出す犯罪者の手口を知らなければ、対策することもできない。犯罪者は不特定多数を狙う場合と特定の個人を狙う場合がある。それぞれどのような手口があるのだろうか。
情シスに必要なのは「ゴシップ耐性」? 必要なリテラシーを法令と倫理から考える
情シスはIT管理者であるため、権限を乱用すれば従業員の個人情報などにリーチしやすいポジションです。情シスが身に付けるべきリテラシーについて整理します。
シャドーAIがセキュリティの課題に 禁止ではなく把握とアクセス制御で対応せよ
シャドーITならぬ「シャドーIT」が問題になり始めた。個人情報や企業の重要情報を入力してしまう論外だ。だが、管理下にない生成AIを利用していると、そのような行動を検出できない。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- HDDの故障率が3分の1に激減? データから読み解く、寿命が劇的に伸びたワケ
- Androidスマホを「見てるだけ」で情報流出? 二段階認証も効かない新手の攻撃とは:855th Lap
- 読者が選ぶ、GeminiとNotebookLMで工数削減できたタスク3選 利用動向を徹底調査
- 「猫の餌やり機」で業務改善 旭鉄工が生産性を30%向上させた“楽をする”DX
- 従業員よりセキュリティが「ダメな情シス」 調査で見つかってしまう
- ChatGPT Proは3万円の価値があるのか? PlusとProを実務目線で比較検証してみた
- Microsoft 365 Copilot、メールも会議議事録も自動化へ【注目アップデート5選】
- 「Copilotだけじゃない」現場が答えた、Microsoft 365アプリのリアルな活用例
- 【総務・情シス向け】社内レクチャー用資料をNotebookLM「Studio」機能で自動製作
- SSDの限界を超える「ReRAM搭載SSD」とは?
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。