技術記事・調査 2023/11/13

【エンドポイント実態調査2023】過去のインシデント発生状況と脅威に思うこと

情報システム部門の担当者に向けたアンケート調査を実施し、過去のインシデント発生状況や脅威に思うことについて回答頂きました。その結果、高い割合の企業・団体・情報システム部門がなんらかのセキュリティインシデントの経験をしており、また、具体的にどのようなことを脅威に感じているのかが見えてきました。

➤【エンドポイント実態調査2023】トップページ

情報システム部門の4割はインシデント経験あり

情報システム部門に「過去5年間における情報セキュリティ事故の発生状況」を確認したところ、業務に影響するレベルのインシデントを、約4割が経験していることがわかりました。さらに、ヒヤリとした場面まで含めると実に約7割の情報システム部門が経験していることになります。

このことからも、多くの情報システム部門では自組織における情報セキュリティ事故をある程度経験しており、セキュリティに関する課題を実感していることがわかります。セキュリティ体制や教育、システム面の対策の重要性は理解しつつも、十分に実施できていないという状況であることが想定されます。セキュリティ対策は重大な事故が起きてからでは遅く、インシデント発生時には人的リソース、調査・復旧、事後対応などの面で、事前に対策するよりもずっと膨大なコストがかかります。そのため、このアンケート結果からもわかる通り、情報システム部門はこれまで以上にしっかりとしたセキュリティ環境を構築する必要に、実感を持って迫られているといえるでしょう。

一番の脅威は情報リテラシー不足？

「機密情報や情報資産を保護するうえでの脅威」についての考えを確認したところ、「セキュリティ意識の欠如」が30.3%と、最も多く回答されました。これは社員のふるまいに対する不安が大きい、ということだと思われます。次いで「マルウェア感染」が20.7%と多く挙げられており、これは近年猛威を振るうランサムウェアの脅威が大きく影響していると考えられます。

社員に対する不安があることの要因としては、近年の働き方改革による影響や新しいデジタルテクノロジーの活用が進んでいる影響が大きいのではないでしょうか。テレワークでは従来とは異なる環境で業務を行うことになるため、セキュリティ対策も従来通りとはいきません。また、ChatGPTをはじめとする生成AIなど、新しいデジタルテクノロジーを業務に取り入れる動きも活発になっており、テレワーク同様、社員一人ひとりのリテラシーに頼る部分もますます増えている現状があります。

DXの推進が業界・業種を問わず進められていますが、古くから紙媒体で仕事を行ってきた人たちはデジタル化にうまく対応できていないケースも多く見られます。業務を遂行する上で必要最低限の知識しか習得できておらず、セキュリティに関する知識・配慮が足りないことは充分に考えられるでしょう。操作を誤ってしまったり、悪意なく不適切な操作を行ったりすることでインシデントにつながる場合もあります。このような社員の情報リテラシー不足は、企業・団体のセキュリティにおける脅威のひとつとして捉えられていると考えられます。

しかし、情報リテラシー不足だけが脅威の温床とは限りません。生まれたときからデジタル機器やインターネットに触れてきた世代である「デジタルネイティブ世代」のようなITリテラシーの高い社員であっても、考慮する必要があります。ITリテラシーの高い社員は、デジタルテクノロジーの活用による効果を理解していることから、より早く、より正確に、より便利に業務を行おうとして、許可されていないクラウドサービスやアプリケーションを勝手に利用してしまう、私用のスマートフォンなどに業務データを保存してしまう、といったことも考えられるでしょう。社内のセキュリティポリシーに違反していると自覚していても、目の前の仕事をこなすことを優先し、結果としてセキュリティ事故の発生要因になる可能性があります。「内部不正」というと、悪意を持つ社員による情報漏えいなどをイメージされる方も多いかもしれませんが、実際には、こうした悪意ともいえない動機により行われる行為に起因するセキュリティ事故なども、「内部不正」として対策する必要があります。

インシデントを防ぐために重要なこと

情報セキュリティ対策においては、「技術的」「人的」「物理的」の3つの対策が必要です。

・技術的対策：セキュリティシステムなどの導入

・人的対策：教育、ルールの作成

・物理的対策：入退室管理、セキュリティワイヤーなどによる対策

前述のとおり、多くの情報システム部門では環境変化に伴い「セキュリティ意識の欠如」に課題を感じており、人的対策の重要性は非常に高いと考えているでしょう。社員に対するセキュリティ教育やルールの周知徹底などによる人的対策は、まず必須の対策といえます。

しかし、人的対策だけではインシデントを防ぎきれません。どうしても人間はミスをするものであり、それをカバーする仕組みも必要です。そのため、技術的・物理的対策も併せて実施することが重要となるのです。特に人的対策と技術的対策はお互いに補完しあうことが可能であるため、社員教育と併せて防ぎきれない部分をシステムでカバーする、という考え方が求められます。

セキュリティに関するシステムを導入する際には、デジタルに慣れていない人でも使いやすい、あるいは、負担をかけないシステムを選ぶことが大切です。

システム面でカバーするソリューションの例

セキュリティ教育を実施し、運用ルールを周知徹底していたとしても、例えば利用するクラウドサービスが増え、それぞれで強固なパスワードを覚えるのが大変になってくると、社員は脆弱なパスワードを使いまわすようになり、攻撃者から侵入されやすくなる可能性があります。また、私用デバイスを勝手に社内ネットワークに接続し、私用デバイス経由でマルウェアに感染するといったケースも考えられるでしょう。

例えば、前者の脆弱なパスワードの使いまわしについては、ソリトンシステムズのPCログイン認証ソリューションである「SmartOn」をエンドポイント端末に導入しておけば、一気に解決できます。SmartOnでは、Webブラウザでログインするクラウドサービスだけではなく、個別のアプリケーションにも対応したシングルサインオン機能があるため、社員はもうパスワードを覚える必要がありません。そして、PCを利用する際のログインにおいては、ID/パスワードだけでなく、生体認証やICカードなどと組み合わせて多要素認証化ができるため、第三者が不正にログオンすることはきわめて困難です。また、社員が毎日利用する仕組みを考える際、生体認証をするにあたって必要となるカメラや認証機器の故障、ICカード忘れといったトラブルへの対応をいかにつつがなく行えるかが重要となります。SmartOnは20年の実績と経験に裏打ちされた柔軟な設定が可能となっており、管理者の負担も軽減することができます。シングルサインオン等の機能によるユーザーの負荷軽減だけでなく、管理者の運用負担も軽減することで、トータルで人的負荷を抑えながらセキュリティ強化を実現できます。

また後者の社内ネットワークアクセスについては、Wi-Fiやリモートアクセスといった入口の認証を強化することが推奨されます。たとえばパスワードのみの認証をやめて、デジタル証明書（電子証明書）を用いて多要素認証化すると、許可していないデバイスの接続を禁止することが可能です。デジタル証明書認証は不正に突破することが難しい高いセキュリティ性を備えながら、ユーザーとしては意識せずに認証を完了してくれるという特徴があり、Wi-Fi（無線アクセスポイント）、リモートアクセス（VPN装置等）のいずれの認証にも利用できるというのも大きなメリットです。ソリトンシステムズでは、クラウドサービス型の「Soliton OneGate」、オンプレミス型の「NetAttest EPS」にて、デジタル証明書認証の実現をサポートしています。

【SmartOn ID 紹介ページ】
https://www.soliton.co.jp/products/category/product/pc-security/smarton/?tab=01

【Soliton OneGate 紹介ページ】
https://www.soliton.co.jp/lp/onegate/

【NetAttest EPS 紹介ページ】
https://www.soliton.co.jp/products/category/product/network/netattest_eps/

➤【エンドポイント実態調査2023】トップページ