インシデントのあったテレワーク導入組織はどんなセキュリティ対策をしていた? デジタルアーツが意識調査:「端末管理や従業員のモラルなどによる対策には限界がある」
デジタルアーツは、「テレワーク導入・導入検討中の組織に対するセキュリティ対策意識調査」の結果を発表した。2020年に発生したインシデントの8割以上がWebアクセスとメールに起因していた。
デジタルアーツは2021年6月21日、「テレワーク導入・導入検討中の組織に対するセキュリティ対策意識調査」の結果を発表した。テレワークを実施している組織のセキュリティインシデントの発生状況やセキュリティ対策に対する意識と現状の実施状況を調べた。
調査対象は、全国の民間企業や官公庁のITシステム・情報セキュリティ担当者で、1065人から有効回答を得た。
インシデントの8割以上が、Webアクセスとメールに起因
2020年に発生したインシデントの8割以上が、Webアクセスとメールに起因していた。件数が最も多かったのは「フィッシングメールの受信」で695件。全体の65.3%が経験していた。次いで「ビジネスメール詐欺のメール受信」が534件で、50.1%だった。
インシデントがあった組織のうち、CSIRT(Computer Security Incident Response Team:サイバー事故対応専門チーム)が機能していると回答したのは8割以上。リスクに対する危機意識は高いものの、情報セキュリティ対策を「経営課題」と位置付ける組織は全体の54.6%にとどまった。
7割の企業がテレワークを継続するが、懸念もある
テレワークの導入状況について調べたところ、「全社的に導入」しているのは60%、「大多数が導入」は23.9%、「一部部署のみ導入」は16.1%だった。テレワークの継続意向については「継続予定」が75.4%、「継続見込みだが未定」が24.6%となっており、テレワーク導入企業の7割以上がテレワークの継続利用を計画している。
だが、セキュリティ面では懸念があるようだ。社内のネットワークやファイルサーバに関するセキュリティ対策について「十分ではない」との回答が約半数を占めた。
セキュリティ対策として注目される「ゼロトラスト」や「SWG」(Secure Web Gateway)、「SASE」(Secure Access Service Edge)については、7割以上が実施済みか検討中だった。
ただし、企業規模別に見ると、従業員数199人以下の中小企業は「意識していない」または「分からない」との回答が半数を占め、デジタルアーツは「中小企業においてセキュリティ対策の認知や理解が進んでいないことが明らかになった」としている。
「働き方が多様化する中で端末管理や従業員のモラルといった人的資源の対策だけでは限界がある。インシデントの原因となっているWebアクセスとメールを使った攻撃手法に合わせた『入口対策』を実施することが改めて重要になる」(デジタルアーツ)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
私の秘密、勝手に公開設定に変更しないでください
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第29列車は、「クラウドサービスの設定不備」です。
Microsoftセキュリティチーム、「Azure」で仮想マシンを保護するためのベストプラクティスを紹介
Microsoftのセキュリティインシデントレスポンスチームは、「Microsoft Azure」で仮想マシンを含むワークロードを保護するためのベストプラクティスを紹介した。
実際の標的型攻撃の事例を基にした「インシデント対応ハンズオン」コンテンツをJPCERT/CCが公開
JPCERTコーディネーションセンターは、「インシデント対応ハンズオン」のコンテンツをGitHubで公開した。標的型攻撃を受けた際の、Windowsイベントログの調査手法について解説した。