テレワークの意識調査:安全のためにセキュリティ教育が重要なワケ
トレンドマイクロは世界27か国、1万3,200人のテレワーカーを対象に聞き取り調査「Head in the Clouds」を行った結果、多くの人がセキュリティポリシーに対する理解不足やリソースの制約により社内規定を破っていたことが明らかとなりました。ユーザのセキュリティ意識を向上させる訓練は、訓練対象者が持つ個人の特徴に合わせてセキュリティ戦略を割り当てることで有効性を向上させることができます。
トレンドマイクロは世界27か国、1万3,200人のテレワーカーを対象に行った聞き取り調査「Head in the Clouds」の結果をまとめました。新型コロナウイルス(COVID-19)の世界的なパンデミックの感染被害は「コロナ禍」と呼ばれるほど、我々の生活に大きな影響を与えています。世界各地で都市封鎖(ロックダウン)や外出制限が行われ、多くの企業組織では従業員をテレワークに順応させざるを得ない状況となり、多くの従業員が自宅からの勤務を余儀なくされています。このコロナ禍による勤務体系の大きな変化に合わせて、多くの企業組織はテレワークの恒久化を本格的に導入する可能性があります。これが現実化した場合、サイバーセキュリティに大きな影響を与えることになります。企業組織のセキュリティ対策において従業員、つまり「人」が最終的な脆弱性となることはしばしば指摘されていますが、在宅勤務で働く従業員は、さらに大きな責任を負うことになるのでしょうか。
残念なことに、トレンドマイクロが行った調査では、ロックダウン中に多くの人がサイバーセキュリティに対する意識を向上させているにも関わらず、セキュリティポリシーに対する理解不足やリソースの制約により社内規定を破っていたことが明らかとなっています。ユーザのセキュリティ意識を向上させる目的で訓練強化を検討する最高情報セキュリティ責任者(CISO)は、訓練対象者が持つ個人の特徴に合わせてセキュリティ戦略を割り当てることで、訓練における有効性を向上させることができます。
今回の調査で弊社が見出した事実
今回の調査「Head in the Clouds」の結果から、在宅勤務の状況に置かれた従業員の、以下のようなセキュリティ意識が明らかになりました。
・72%の回答者が所属組織のサイバーセキュリティポリシーに意識を向けており、85%はIT部門の指示や指導を真剣に受け止めていると回答
・81%は自身が組織内のサイバーセキュリティにおける責任対象の一部であることに同意
・約3分の2(64%)は、非業務用アプリを業務用デバイスで利用することがセキュリティ侵害の危険性を高めることを認識
しかし、これらのセキュリティ認識があるにもかかわらず、多くの従業員は安全性よりも生産性を優先して業務に当たっていることも明らかになりました。
・半数以上(56%)は、業務用デバイス上で使用許可のないアプリを使用
・66%が企業データを認可のないアプリ上にアップロード
・39%が「頻繁に」または「常に」個人用デバイスから企業データにアクセス
・29%は、IT部門が講じる対策は「役に立たない」と感じており、非業務用アプリを使用して生産性を上げることは問題ないことと認識
このような背景から許可されていない外部サービスの利用、いわゆる「シャドウIT」が発生し、サイバーリスクレベルを上げる原因となります。これは、ユーザのセキュリティ意識の向上を目的とする訓練への現在の取り組みが十分でないことも示唆しています。実際多くの従業員は、ベストプラクティスの最良のあり方について認識しているようですが、順応しきれていないように見えます。
セキュリティに対する4つの認知的特徴
次に、トレンドマイクロがテレワークのセキュリティについて行った研究について説明します。弊社は、英国エッジヒル大学のサイバー心理学者Linda Kaye博士に、人の行動に基づいた4つの特徴「心配性な人(Fearful)」、「慎重な人(Conscientious)」、「無関心な人(Ignorant)」、「無謀な人(Daredevil)」を元に、セキュリティ意識の分析を依頼しました。この4つの認知的特徴について、インフォグラフィックにまとめましたので以下を参照ください。
この4つの認知的特徴を元に、セキュリティ訓練を実施する際に注意すべき点もまとめました:
心配性な人に対しては、トレンドマイクロの「Phish Insight」のようなフィッシング模擬訓練ツールを活用することで、セキュリティ管理者や訓練指導者からのリアルタイムなフィードバックにより有益な知識を得ることができます。
慎重な人の場合はそれ程多くの訓練を必要としませんが、良い行動の模範者として他の部署の「仲間」とチームを組む際にも力を貸してくれます。
無関心な人を訓練に参加させ続けるには、ゲームの要素を取り入れたゲーミフィケーション技術や、実際のサイバー攻撃を模範してデザインされたシミュレーション演習が効果的です。もしくは、危険な行動に出た場合に待ち受ける結果を正確に理解するために追加訓練が必要になる場合もあります。
無謀な人が、おそらく最も難儀することでしょう。彼らの過ちは無知からくるものではなく、他人から認められたいという承認欲求からくるため、企業組織は、コンプライアンスを促進するために表彰制度を導入しましょう。過度な状況下においては、データ損失の防止策およびセキュリティ管理体制を強化して、彼らのリスクある行為を軽減させる必要があります。
セキュリティリーダは、サイバーセキュリティにおいて自分と同じセキュリティ意識を持つ従業員は二人といないと理解することで、訓練指導における細かな違いを調整できるようになります。
このように従業員の認知的特徴を4つに分ける場合は、多くの組織で今日実施される万人向けの訓練を全員に実施するよりも、従業員の特徴に合わせた教育指導法を確立する必要があります。詰まるところテレワークでは、従業員とそのチームとの間に大きな信頼関係が築き上げられていることが重要です。コロナ禍が終息を迎え、実際的にオフィスでの業務が許可された後も継続してテレワークを行うには、テレワーク環境下でも業務をしっかりと遂行できるという信頼関係を維持しておく必要があります。
参考記事:
「Survey: Employee Security Training is Essential to Remote Working Success」by Trend Micro
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)