現実はそんなもの？　IT従事者でもパスワードを使い回し、同僚と共有

欧米のITおよびITセキュリティ従事者のセキュリティ意識の実態

　認証デバイス「YubiKey」で知られるスウェーデンのセキュリティ企業Yubicoは、米調査会社Ponemon Instituteと共同で欧米のITおよびITセキュリティ従事者のセキュリティ意識の実態を調査した結果を「The 2019 State of Password and Authentication Security Behaviors Report」として発表しました。調査対象は米英独仏のITおよびITセキュリティ従事者1761名です。なお、発表された1月28日は「Data Privacy Day」（北米）／「Data Protection Day」（欧州）でした。

　ポイントは以下の5つ。

• 回答者の3分の2（69％）がアカウントへのアクセスパスワードを同僚と共有している（以下の図）。
• 回答者の51％が仕事用アカウントと私用アカウントでパスワードを使い回している。
• フィッシング攻撃を受けた経験のある回答者の57％がパスワードに関する行動パターンを変えたことがない。
• 回答者の67％が私生活においていかなる形態の二要素認証も使っておらず、回答者の55％が仕事で使っていない。
• 回答者の57％がパスワードを使用しないログイン方法を好むと表明。

　本連載の2018年12月の記事で紹介した、米SailPointによるITリーダーを対象とした意識調査と比べてもかなり悪い結果となっていますが、「現実はそんなもんかな」という印象もあります。

　このほかにもさまざまな調査結果がまとめられており、今回はその中からいくつかを紹介します。

　調査対象の1761名のうち、35歳未満は45％、35歳から55歳は46％、56歳以上が9％となっています。この3つの年齢層による違いとして、過去2年間でプライバシーや個人情報のセキュリティについて懸念が増してきているかを尋ねた結果をまとめたのが以下の図です。年齢が高いほど懸念が増している傾向があります。

　また、保護する上で最も懸念する個人情報について尋ねた結果は以下の図になります。

　どの層でも社会保障番号や住民IDは高い割合を占めていますが、35歳未満では支払い関連のアカウント情報が最も高い値を示しています。また、56歳以上では健康状態も非常に高い結果となっています。一方、35歳未満の層では電話番号や写真・動画が他の年齢層より高く、ほぼ半数を占めているのに対し、逆にGPSによる位置情報や支払い履歴が低いのが特徴的です。この一連の結果からは「プライバシー」や「個人情報」の捉え方、すなわち「赤の他人に知られたくないもの」の傾向が年齢層によって異なっていることが見て取れます。もちろん、特に意外な結果ではなく、おそらく日本で同様の調査を行なっても同じような結果になるのではないかと思われます。

　保護する上で最も懸念するビジネス情報について尋ねた結果は以下になります。顧客情報が多いのは当然ですが、従業員の情報としている割合が35歳未満で半数を超えているのが目を引きます。

　次に国別でまとめた結果を紹介します。今回の調査対象1761名の内訳は、米国577名、英国404名、ドイツ400名、フランス380名です。特徴的なのは同僚とのパスワードの共有です。全体では69％が共有しているという結果でしたが、国別で見ると、米国は78％に及んでいるのに対し、逆にドイツは57％にとどまっています。この違いは顕著です。

　プライバシーについて懸念する理由として挙げられているものにも国ごとに違いが出ています。ヨーロッパ3カ国では「政府による監視の強化」が6割以上でトップとなっていますが、米国では50％にとどまっており、代わりに「モバイルデバイスの利用頻度の増加」が最も多くなっています。また、「データ侵害の被害者になった人を知っているから」と「自分がデータ侵害の被害者になったから」としているのが米国で比較的多いのは、米国が攻撃対象となりやすい現実を示していると言えるかもしれません。一方、ドイツでは「モバイルデバイスの利用頻度の増加」と「自分がデータ侵害の被害者になったから」の割合が他国と比べて低くなっています。

　今回の調査の主体はYubicoですので、結論としては、一般従業員よりも一般的にセキュリティ意識が高いと期待されるITおよびITセキュリティ従事者でもパスワードをはじめとする認証に対するセキュリティ意識が十分に高いとは言えない状況であることをアピールし、改めて啓発の必要性を訴えるものであることは明らかです。しかし、今回の調査では認証に直接関連した項目だけでなく、もう少し広い範囲で調査しており、なかなか興味深い結果が出ています。認証に限定せずに「セキュリティ意識に関する実態調査」として読むべきでしょう。また、図を多用し、シンプルに分かりやすく紹介されていますので比較的気軽に読めると思います。

ENISAがまとめた「2018年のサイバー脅威トップ15」

　ENISA（European Union Agency for Network and Information Security：EUネットワーク情報セキュリティ庁）は2018年のサイバー脅威の状況を分析した報告書「ENISA Threat Landscape Report 2018」を公開しました。毎年公開されている報告書の目玉は「15 Top Cyberthreats and Trends」で、2018年は以下のようになっています。目を引くのは「Cryptojacking」がランクインしていることでしょう。

　また、2018年の傾向を簡単にまとめると、以下の9点となります。

• メールやフィッシングメッセージはマルウェアの感染経路のトップになってきている。
• エクスプロイトキットはサイバー脅威の状況において重要性を失ってきている。
• 暗号通貨採掘はサイバー犯罪にとって重要な収益化の手段となってきている。
• 国家が支援する攻撃者らはサイバー犯罪で使われる攻撃手法を使ってますます銀行を狙うようになっている。
• スキルや能力の向上は防御側にとって関心の的となっている。公的機関はサイバーセキュリティ人材を業界と激しく奪い合うことになるため、スタッフの維持に苦労している。
• 提示されるサイバー脅威情報のほとんどが技術指向であることがセキュリティや経営のマネジメントレベルでの意識向上に対する障害となっている。
• サイバー脅威情報は、自動化されたツールやスキルの使用に対する革新的なアプローチを通じてますます自動化されてきている攻撃に対応する必要がある。
• IoT環境の台頭は、低価格帯のIoTデバイスやサービスにおける保護機構の欠如のため懸念材料であり続けるだろう。一般的なIoT保護アーキテクチャやグッドプラクティスに対するニーズは差し迫ったものであり続けるだろう。
• 能力の低い組織やエンドユーザーのためのサイバー脅威情報ソリューション（製品やサービスを含む）の欠如はベンダーや政府が取り組むべき課題である。

　若干「今さら」と思える項目もありますが、全体としては納得のいく内容となっています。これらを踏まえ、報告書には「政策」「ビジネス」「研究・教育」の3つの分野に分けて「サイバー脅威情報（報告書内ではCTI＝cyberthreat intelligenceと略）の利活用を促進すべし」との趣旨の助言が提示されていますが、少々CTIを強調しすぎているような印象があります。

　そのほかにも報告書では脅威や攻撃者、攻撃手法についてもまとめられています。特に脅威と攻撃者をマッピングした以下の図は興味深いです。

　トータルで140ページ近くにおよぶ文量なので、気軽に読めるものではないかもしれませんが、まずは目次を見て興味のある項目だけでも目を通してみると良いのではないかと思います。