セキュリティ対策に関する意識調査
2016年4月から6月にかけてトレンドマイクロが実施した オンラインアンケートによると「自社の情報や資産の保護はセキュリティ対策ソフトのみに依存している」という回答が58%に及んでいました。このオンラインアンケートでは「自社のセキュリティ対策の効率性」について質問し、278の回答を得ることができました。
従来型セキュリティ対策ソフトのみに依存している企業や組織 は、ランサムウェアなどのオンライン恐喝に無防備となります。こうした脅威はセキュリティ対策ソフトの検出を回避するからです。
回答者の54%以上が「 自社のサーバに保存されたファイルが不正アクセスや暗号化された場合、深刻な被害を招く」ということを認めています 。この点からも、企業や組織にとって「エンドポイントでのアプリケーション制御」や「ゲートウェイでのEメールレピュテーション・Webレピュテーション」を重視したセキュリティ対策が不可欠なことが分かります。局所感染では、挙動監視が感染拡大の阻止に有効です。
■情報漏えい のリスクとなる業務形態
2016年以降、企業や組織が対処すべき脅威はランサムウェアだけではありません。アンケート結果でも依然として 「情報漏えい 」が繰り返し発生する問題であることを示しています。「セキュリティ対策ソフトのみの依存」に加え、多くの企業や組織で情報漏えい対策が不十分なことが明らかになっています。例えば、回答者の60%が「自社情報の保存やアクセスを社外で行う」とし、39%が「サードパーティに管理を委託する」としています。このような情報管理をしている企業や組織は、社外パートナーや委託先を介して侵入する「島巡り(アイランドホッピング)」攻撃の標的にされる可能性があります。
その意味では、情報管理を外部委託やサードパーティに依存している通信・メディア分野の企業や組織でセキュリティ対策が最も不十分なのは、驚くべきことではないでしょう。今回のアンケートでは、この分野の回答者の実に43%が、セキュリティ関連の質問で平均点以下でした。
対照的に政府関連機関の回答は、平均点以上を示していました。「モノのインターネット(Internet of Things、IoT)」やモバイル端末導入に慎重であることが理由と考えられます。情報管理関係の回答も及第点でした。しかしこれは、これらの機関が攻撃と無縁ということではありません。実際、2016年初めに政府機関を狙った大規模情報漏えいが発生し、しかも委託先サードパーティ1社のセキュリティ対策不備が原因だったようです。
■情報漏えいのリスクとなるモバイル端末やIoT
もう1つ情報漏えいの原因となる領域がモバイル端末です。回答者の60%に及ぶ企業や組織で「個人用モバイル端末による社内情報へのアクセスを許可している」とし、しかも回答者の実に58%が「個人用モバイル端末の管理方針を定めていない」と認めています。個人用端末が紛失や盗難や乗っ取りの被害に遭った場合、所有者は賠償責任の対象になります。弊社が2015年に公開した情報漏えいに関するリサーチペーパー「Follow the Data: Dissecting Data Breaches and Debunking the Myths」(英語版のみ)によると、米国の情報漏えい全事例の実に41%が、モバイル端末の盗難や紛失に起因していました。
この問題はIoT普及に伴いさらに深刻化しています。安全なIoT導入が未整備の企業や組織では情報漏えいの脅威に対する危険度が高まっています。特にセキュリティ対策変更に最も保守的とされる医療・保健の分野では、IoT関連脅威のセキュリティ対策で最も低いスコアを示していました。
回答者の36%以上が「従業員によるオンライン上での必要以上の情報共有に懸念を示している」とし、「個人用モバイル端末以上に深刻な問題である」と捉えています。オンライン上で入手可能な個人情報が標的型サイバー攻撃で利用される現状を考えると、これはもっともな懸念です。実際、数多くの注目すべき事例で、こうした情報が偽の送金指示メール「Business Email Compromised(BEC) 」の手法で悪用されています。
■まとめ
今回のアンケート結果は、企業や組織が知っておくべき事実を再認識させました。それは「セキュリティ対策ソフトだけでは不十分である」という事実です。この事実は、セキュリティリサーチャやセキュリティ企業の間では周知のことですが、回答者の過半数が「従来型のセキュリティ対策ソフトで十分だ」と考えている点からも、企業や組織に浸透していない現実を浮き彫りにしています。企業や組織は、最新の脅威動向を把握しているかもしれませんが、そうした情報を自社のセキュリティ戦略に反映させていないようです。
企業や組織は、それぞれの業種やビジネス形態に応じてセキュリティ要件も異なります。上述のとおり、保護すべき領域は、業務形態で異なります。例えば、自社の業務をモバイル端末に依存している企業は、個人用モバイル端末の保護や情報管理に注力すべきです。日々の業務で頻繁にモバイル端末を活用するメディア関連企業などが該当します。
今回のアンケート調査の業界別詳細については、こちら(英語)をご参照ください。