海の向こうの“セキュリティ”
セキュリティ担当者にかかるプレッシャー2018年版/セキュリティ意識の実態から見える“啓発”のあり方
2018年7月5日 06:00
セキュリティ意識の実態から見える“啓発”のあり方
従業員個人の「誤ったセキュリティ」が企業や組織を深刻な事態に陥れてしまう可能性があることは広く知られており、啓発のためにセキュリティ担当者はさまざまな努力をされていると思います。そのような中、OpenVPNは米国の企業や組織に勤める500名の常勤従業員に対して行なった意識調査の結果を「Cyber Hygiene Study 2018」として発表しました。
「サイバー衛生研究(Cyber Hygiene Study)」と題された今回の調査結果でまず目を引くのは、調査対象の25%が全てに同じパスワードを使いまわしているという点です。さらに、ウェブサイトへのアクセスにおいてリンク先を確かめる前にクリックしてしまうことがとても多いと認めている人が23%に及んでいたそうです。特に、いわゆる「ミレニアル世代 (Millennials)」と呼ばれる1980年代から2000年代初頭に生まれた人たちに限ると、このような不用意なクリックをしがちな割合は57%にも及んでいます。
また、いわゆる「AIアシスタント(スマートスピーカー)」に対する意識について調査した結果も示唆的です。回答者の24%が第三者による侵害の可能性があると信じていますが、それでも実際に使用をやめたのは3%に過ぎません。この結果から分かるのは、たとえ脅威を認識していても、多くの人は便利さを優先してしまうということです。
ほかにもさまざまな調査結果が示されていますが、それらを踏まえた上で今回のOpenVPNによる発表で最も注目すべき点は、結論として経営層に向けて提示されている従業員に対する教育や啓発のあり方です。
これまで多くの企業や組織では、「○○をするな」「△△をしろ」と厳しく命じたり、恐怖心をあおったりするといったやり方が取られていたと思われますが、それでは十分な効果を得ることはできず、逆のアプローチ、つまり、きちんとやれている人に何らかの見返りを与えたり、感謝の意を示したりすることを考えるべきではないかとしているのです。これは企業や組織の「文化」を変えるものでもあるため、一朝一夕で実現できるものではないかもしれませんし、そもそも米国での調査結果に基づく提言を日本にそのまま適用するのは無理があると考える人もいるかもしれません。それでも、「失敗を犯した人を責めず、正直に報告した人を褒める」ということがセキュリティ対策として効果があることは既に知られており、その延長と考えれば、「うまくやれている人を褒める」ことにも十分に意味があると考えられます。まずは検討してみるところからでも始めてみてはいかがでしょうか?
URL
- OpenVPN(2018年6月11日付記事)
Employee Behaviors Have a Direct Impact on Corporate Cybersecurity - https://www.privatetunnel.com/news/cyber-hygiene-openvpn-study/
- The Wall Street Journal(2017年9月17日付記事)
A Better Way to Teach Cybersecurity to Workers - https://www.wsj.com/articles/a-better-way-to-teach-cybersecurity-to-workers-1505700120
セキュリティ担当者にかかるプレッシャー2018年版
本連載の2017年5月の記事で紹介した、企業や組織のセキュリティ担当者が感じる「プレッシャー」について米セキュリティ企業Trustwaveが調査した結果をまとめた報告書の2018年版「2018 Security Pressures Report」が公開されました。
今回で5年目となる本調査の対象は、前年と同じく、常勤のIT専門家でセキュリティに関する意思決定などの影響力を持っている立場の方たち。具体的には、CIO、ITまたはITセキュリティのディレクターやマネージャーが中心となっています。内訳は米国の600人をはじめ、カナダ、英国、オーストラリア、シンガポール、日本のそれぞれ200人、計1600人となっています(人数は前年の調査と同じ)。業種はさまざまで、テクノロジー、製造業、サービス業、ヘルスケア、小売業、金融業が多く、従業員数の平均は4390人(前年の調査では4267人)です。調査方法としては、2018年1月に電子メールを介して行われ、誤差の範囲は±5%です。
まず、前年(2016年)と比べて2017年に感じたプレッシャーが増えたか減ったかを訊ねた結果が以下の表です。全体としては前年の結果とほぼ同じで、プレッシャーは増していると感じている回答者が多いようです。また、「増えた」としている人の割合は、日本が米国に次いで多い値を示しています。
| 2017年の調査 | 前年比 | 2018年の調査 | 米国 | カナダ | 英国 | オーストラリア | シンガポール | 日本 | |
| 増えた | 53% | ↑ | 54% | 61% | 46% | 51% | 45% | 54% | 55% |
| 同じ | 30% | ↑ | 33% | 25% | 42% | 33% | 42% | 28% | 39% |
| 減った | 17% | ↓ | 13% | 13% | 12% | 15% | 12% | 18% | 6% |
日本だけを取り出して昨年の結果と比較すると以下のようになります。
| 2017年の調査 | 前年比 | 2018年の調査 | |
| 増えた | 51% | ↑ | 55% |
| 同じ | 42% | ↓ | 39% |
| 減った | 8% | ↓ | 6% |
2017年と比べて、2018年に感じることになるであろうプレッシャーの予想を訊ねた結果が以下の表です。こちらも全体としては前年の結果とほぼ同じで、プレッシャーが減るとは思われていないようです。なお、「増える」としている人の割合は全体としては減っていますが、個々の国で昨年の結果と比較するとシンガポールが48%から57%に、日本が57%から59%に増加しています。
| 2017年の調査 | 前年比 | 2018年の調査 | 米国 | カナダ | 英国 | オーストラリア | シンガポール | 日本 | |
| 増える | 58% | ↓ | 55% | 59% | 48% | 53% | 46% | 57% | 59% |
| 同じ | 31% | ↑ | 35% | 29% | 43% | 34% | 48% | 30% | 37% |
| 減る | 12% | ↓ | 10% | 12% | 8% | 12% | 6% | 12% | 3% |
日本だけを取り出して昨年の結果と比較すると以下のようになります。
| 2017年の調査 | 前年比 | 2018年の調査 | |
| 増える | 57% | ↑ | 59% |
| 同じ | 37% | = | 37% |
| 減る | 7% | ↓ | 3% |
プレッシャーを与える存在は誰かとの問いに対する回答をまとめたのが以下の表です。「経営層/オーナーなど」の割合は2016年の調査結果59%と比較しても明らかな減少傾向にあります。今回は「直属の上司」の増加が目を引きますが、その一方で「自分自身」は2016年の調査結果11%から2017年は24%に急増したのが、2018年には19%に減っています。また、シンガポールは「自分自身」が少なく、日本は「経営層/オーナーなど」が少ないという他国とは異なる傾向が見られています。
| 2017年の調査 | 前年比 | 2018年の調査 | 米国 | カナダ | 英国 | オーストラリア | シンガポール | 日本 | |
| 経営層/オーナーなど | 46% | ↓ | 39% | 40% | 33% | 41% | 36% | 58% | 25% |
| 直属の上司 | 19% | ↑ | 27% | 27% | 27% | 30% | 21% | 24% | 31% |
| 自分自身 | 24% | ↓ | 19% | 21% | 22% | 13% | 25% | 6% | 23% |
| 同僚 | 5% | ↑ | 8% | 7% | 6% | 10% | 9% | 7% | 8% |
| ない | 6% | ↑ | 7% | 5% | 11% | 6% | 8% | 3% | 12% |
日本だけを取り出して昨年の結果と比較すると以下のようになります。
| 2017年の調査 | 前年比 | 2018年の調査 | |
| 経営層/オーナーなど | 39% | ↓ | 25% |
| 直属の上司 | 21% | ↑ | 31% |
| 自分自身 | 22% | ↑ | 23% |
| 同僚 | 3% | ↑ | 8% |
| ない | 16% | ↓ | 12% |
自組織にとって調査時点で最も大きなプレッシャーとなっている規制や義務は何かとの問いに対する回答をまとめたのが以下の表です。日本でのGDPRの割合の低さが目を引きます。
| 2018年の調査 | 米国 | カナダ | 英国 | オーストラリア | シンガポール | 日本 | |
| PCI DSS | 27% | 30% | 24% | 29% | 20% | 29% | 28% |
| GDPR | 26% | 27% | 21% | 41% | 23% | 32% | 11% |
| 国や地域の法律 | 14% | 13% | 11% | 8% | 19% | 14% | 19% |
| 業界固有のもの | 11% | 11% | 8% | 7% | 7% | 13% | 16% |
| なし | 22% | 20% | 35% | 15% | 30% | 10% | 25% |
セキュリティチームの望ましい規模について訊ねた質問への回答をまとめたのが以下の表です。全体としては前年の結果と同じく、現状では十分ではないと考えている回答者が多いようです。
| 2017年の調査 | 前年比 | 2018年の調査 | 米国 | カナダ | 英国 | オーストラリア | シンガポール | 日本 | |
| 現在の2倍 | 44% | ↑ | 45% | 46% | 42% | 41% | 41% | 54% | 45% |
| 現在の4倍 | 26% | ↓ | 24% | 26% | 18% | 25% | 18% | 27% | 24% |
| 現在の4倍より上 | 6% | ↓ | 5% | 5% | 3% | 3% | 4% | 5% | 7% |
| 現在でちょうど良い | 24% | ↑ | 26% | 23% | 37% | 31% | 37% | 13% | 24% |
日本だけを取り出して昨年の結果と比較すると以下のようになります。
| 2017年の調査 | 前年比 | 2018年の調査 | |
| 現在の2倍 | 46% | ↓ | 45% |
| 現在の4倍 | 20% | ↑ | 24% |
| 現在の4倍より上 | 9% | ↓ | 7% |
| 現在でちょうど良い | 26% | ↓ | 24% |
2018年の「ほしい物リスト」のトップ項目は何かとの質問に対しては以下のような回答が得られています。全体としては前年の結果とほぼ同じですが、昨年までの調査結果にはない「セキュリティの意識啓発と文化醸成」が1割前後を占めている点は注目すべきでしょう。
| 2017年の調査 | 前年比 | 2018年の調査 | 米国 | カナダ | 英国 | オーストラリア | シンガポール | 日本 | |
| 予算の増額 | 30% | ↓ | 29% | 26% | 35% | 33% | 32% | 33% | 25% |
| スキルの向上 | 24% | ↓ | 21% | 21% | 17% | 16% | 23% | 17% | 30% |
| セキュリティに集中できる時間の増加 | 9% | ↑ | 13% | 14% | 9% | 16% | 12% | 10% | 11% |
| セキュリティベンダーとの契約 | 11% | ↓ | 10% | 10% | 10% | 6% | 8% | 17% | 8% |
| 複雑なセキュリティ技術や製品の削減 | 14% | ↓ | 9% | 10% | 9% | 9% | 9% | 9% | 9% |
| セキュリティの意識啓発と文化醸成 | - | - | 9% | 10% | 11% | 8% | 8% | 7% | 9% |
| 営業部門からのリクエストの減少 | 9% | ↓ | 5% | 7% | 4% | 6% | 2% | 5% | 2% |
| 要員の増強 | 3% | ↑ | 4% | 3% | 4% | 6% | 3% | 1% | 4% |
日本だけを取り出して昨年の結果と比較すると以下のようになります。日本では「スキルの向上」を望む声が他国と比べて安定して多いようです。
| 2017年の調査 | 前年比 | 2018年の調査 | |
| 予算の増額 | 29% | ↓ | 25% |
| スキルの向上 | 30% | = | 30% |
| セキュリティに集中できる時間の増加 | 7% | ↑ | 11% |
| セキュリティベンダーとの契約 | 7% | ↑ | 8% |
| 複雑なセキュリティ技術や製品の削減 | 15% | ↓ | 9% |
| セキュリティの意識啓発と文化醸成 | - | - | 9% |
| 営業部門からのリクエストの減少 | 8% | ↓ | 2% |
| 要員の増強 | 5% | ↓ | 4% |
今回の調査結果は全体として前年と大きく変わるところはありませんでしたが、「プレッシャー」という観点からセキュリティ担当者が感じている「空気」のような主観的であいまいなものを具体的な数字で示したものとして今後も継続して見ていくことで世の中の流れを大まかにつかむことができるのではないかと思います。
また、今回は紹介しませんでしたが、報告書にはプレッシャーを与えるセキュリティ上の脅威について調査した結果なども掲載されていますので、興味のある方は報告書本文にも目を通してみることをお勧めします。
URL
- 2018 Security Pressures Report from Trustwave
- https://www2.trustwave.com/2018-Security-Pressures-Report.html
- Trustwave(2018年5月23日付プレスリリース)
New Trustwave Report Uncovers Key Drivers Steadily Increasing Cybersecurity Pressures - https://www.trustwave.com/Company/Newsroom/News/New-Trustwave-Report-Uncovers-Key-Drivers-Steadily-Increasing-Cybersecurity-Pressures/
- Trustwave Blog(2018年5月23日付記事)
Introducing the 2018 Security Pressures Report from Trustwave - https://www.trustwave.com/Resources/Trustwave-Blog/Introducing-the-2018-Security-Pressures-Report-from-Trustwave/
- 海の向こうの“セキュリティ”(2017年5月1日付記事)
セキュリティ担当者にかかるプレッシャーは「パーソナル」なものに - https://internet.watch.impress.co.jp/docs/column/security/1057661.html
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。