セキュリティ担当者の悩みは令和になっても変わらない? 2020年、導入したいセキュリティ対策はコレ
セキュリティ対策はどこまでやっても終わらない。キーマンズネット会員1329人を対象に「勤務先のセキュリティ対策状況」を調査した。2020年に導入意向が高い注目のセキュリティ製品が浮かび上がった。
キーマンズネット編集部では2020年に注目すべきトピックスとして「セキュリティ」「クラウド活用」「情報共有」「DX人材」「AI導入」「RPA」「働き方改革」の7つのトピックスを抽出し、読者調査を実施した(実施期間:2019年11月22日〜12月20日、有効回答数1329件)。企業における2020年のIT投資意向と併せて調査結果を全8回でお届けする。
第2回のテーマは「セキュリティ」だ。
調査サマリー
- 2019年にセキュリティ脅威に遭遇した人は17.5%、前年調査から3.8ポイント減
- セキュリティの課題上位5つはほぼ変わらず、コスト増がトップ
- 導入予定のセキュリティ製品で「EDR」と「セキュアブラウザ」が大幅な伸び
2019年は脆弱な認証がさまざまなサービスで狙われた
2019年も大きなセキュリティインシデントが発生した。セブン&アイ・ホールディングスのバーコード決済サービスとして2019年7月1日にリリースされた「7pay」は、スタート直後からアカウントハッキングが相次ぎ、9月30日にはサービス終了へと追い込まれた。不正チャージなどによる被害総額は3861万5473円(2019年7月31日17時時点)だった。
同じく7月には、ヤマト運輸の会員向けサービス「クロネコメンバーズ」に対する不正ログインが発覚した。約2800万人が登録するサービスに対して約3万回の不正ログインが試行され、3467件が被害に遭った。同社の報告によれば氏名や住所の他にクレジットカード情報(番号の下4桁、有効期限、カード名義)が盗み見られた可能性がある。
7pay事件は、脆弱(ぜいじゃく)な認証システムがやり玉に挙げられ、メディアを通じて「二要素認証(多要素認証)」や「二段階認証」などの重要性が認知された。クロネコメンバーズ事件の手口はパスワードリスト攻撃とみられ、あらためてパスワードの使いまわしリスクが注目された。
さて、キーマンズネット会員の周囲ではどのような被害が発生しただろうか。「この1年で、何らかのセキュリティ被害に遭った、もしくは水際で食い止めたような経験」の有無を尋ねた。回答の多い順に「被害には遭っていない」(67.7%)、「分からない」(14.8%)、「被害を水際で食い止めた」(12.3%)、「被害にあった」(5.2%)となった。
「被害にあった」「被害を水際で食い止めた」を合算すると17.5%となり、2018年調査と比べて3.8ポイント減だった。2年連続で被害に遭ったと答える人が減少したが、これに安心するのは早計かもしれない。攻撃の手口は高度化、巧妙化の一途をたどっているからだ。
なお、「被害に遭った」と回答した人に「被害に気付いたきっかけ」を聞いたところ、最も多かったのは「従業員からの通報」(40.6%)だった。以下、「セキュリティ専門部署による監視」(29.0%)、「顧客や取引先からの通報」(20.3%)と続いた。
セキュリティ課題に大きな改善は見られず
勤務先におけるセキュリティ対策の課題について質問したところ、最多となったのは「セキュリティ対策製品のライセンスや運用管理のコスト増」(36.0%)、2番手は小差で「セキュリティ担当者の不足や不在」(35.9%)だった。この2つは例年順位を入れ替えながら上位を占める。
3位には「投資対効果の説明が難しい」(28.5%)、4位には「従業員へのセキュリティ教育が十分にできていない」(28.3%)、5位には「セキュリティ対策によってユーザーの利便性が犠牲になる」(25.4%)と続く。この3つはほぼ例年同様の結果で、セキュリティ教育の3.8ポイント減が目立つが全体的に大きな変動は見当たらない。
フリーコメントを見ると「日本法人に決定権がない」という悩みがある一方で、「海外子会社で問題が発生し、それが日本側にも波及する」というトラブルもあったようだ。他にも「お客さまのデータ管理についてのリテラシー教育」「IoTデバイスのセキュリティ対策」「SDN導入によるゼロトラスト対策が不十分」といった新しいキーワードも寄せられた。
「ノーガード戦法」というコメントもあったが、課題の多さに対する諦めの境地を吐露したものだろうか。「サイバーノーガード戦法」というネット用語が生まれて約16年、なつかしくもある。
導入したいセキュリティ製品に「EDR」が急上昇
最後にセキュリティ対策製品の導入状況と投資意向を見てみよう。まず、セキュリティ製品を導入済みの回答者1250人を対象に、どのようなセキュリティ製品を導入しているのか複数回答で尋ねた。
最も多いのは「マルウェア対策(アンチウイルスなど)」(91.7%)だった。セキュリティ対策の基本中の基本であり、「Windows 10」にも標準で「Windows Defender」が搭載されていることもあって導入率9割超えには納得感がある。2位に「ファイアウォール」(67.7%)、3位に「フィルタリング」(51.4%)が入り、もはやトップ3は不動の様相を呈す。4位以下についても多少の順位の変動こそあれ、大勢に大きな変化は見当たらない。
では今後導入を予定するセキュリティ製品はどうだろうか。セキュリティ製品の導入予定があると答えた人125人を対象に導入意向を聞いた。同率1位で「マルウェア対策(アンチウイルスなど)」(27.2%)と「EDR(エンドポイントでの脅威の検出と対応)」が並んだ。回答数が大きく違うので直接比較はできないが、EDRは2019年調査で6.5%に過ぎなかったのでジャンプアップといえるだろう。
もう1つ順位を大幅に上げたのは4位タイに入った「セキュアブラウザ」(16.0%)だ。政府の旗振りもありリモートワークを導入する企業が増え、スマートフォンのようにPC以外の端末の利用も当たり前になりつつある中で、情報漏えい対策としてデータを端末に残さないセキュアブラウザへの期待が高まっているのかもしれない。
2020年は本格的にリモートワーク導入が進む可能性が高い。これまでのセキュリティの基本だったネットワークの「ウチ」と「ソト」を定めて守る境界対策が曖昧になり、セキュリティ管理者の目が届かなくなるケースも増えるだろう。「ゼロトラスト」のような新しい考え方が古い常識を塗り替える日も近いかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 標的型攻撃への対策状況(2019年)/前編
キーマンズネットの読者を対象に標的型攻撃の対策状況を聞いた。前編では企業におけるセキュリティ被害の経験の有無や、その具体的な内容を明らかにしている。 - 標的型攻撃への対策状況(2019年)/後編
キーマンズネット会員を対象にアンケート調査を実施し、セキュリティ対策における社内体制や、導入しているセキュリティ製品など、企業の標的型攻撃への対策状況が明らかになった。 - テレワーク導入課題「セキュリティ、就業時間管理、業務管理」の突破法
家庭の事情で「働きたくても働けない」状況にある人材に対してテレワークという選択肢を提示することで、人材確保や長期就労につながる場合もある。最近では「テレワーク可能」とする求人に対して応募が集まりやすい傾向にあるようだ。しかし、まだテレワークの実施率は低い。テレワークの浸透を阻むものとは何か。また、その乗り越え方とは。 - HDD不正転売事件から学ぶ 情報保護・情報ガバナンス市場の実態
情報保護や情報ガバナンスの強化に向けて、企業ではさまざまな対策を実施しているが、その中心となるソリューションが、「暗号化・鍵管理」や「DLP」(Data Loss Prevention)、そして「eディスカバリーアプリケーション」などだ。これら情報保護対策につながるソリューションの現状と市場予測についてお伝えする。 - 「EDR」とは何か? 比較される「EPP」と何が違うか
既存の防御の網の目をすり抜けて侵入した脅威に対し、効果を発揮するEDR(Endpoint Detection and Response)。導入企業からは「効果がイマイチ分かりにくい」「運用が難しい」の声も聞くが、EDRの正しい認識や選定方法、運用のポイントを知ることで、その本来の価値を引き出せる。