- 2024/05/01
- セキュリティ
アンケート調査から紐解く「人材不足」「リテラシー欠如」の課題解決の糸口とは
Post by : Yuichi Kikukawa
アンケート調査の結果から垣間見える「人間系」のセキュリティ課題
2024年2月15日、弊社主催のオンラインセミナー「調査結果から紐解く、企業・組織が抱えるセキュリティ人材不足とリテラシー向上のために取り組むべき対策とは」が開催されました。本セミナーの後半では弊社 プロダクトマーケティングマネージャー 菊川悠一が登壇し、「企業におけるサイバーセキュリティ教育の実態とは? サイバーリーズンの独自調査から分かる今後のセキュリティ対策の勘所を徹底解説」と題したプレゼンテーションを行いました。
弊社は2024年1月に、弊社メールマガジンの購読者を対象にセキュリティ対策に関するアンケート調査を実施しました。その結果をさまざまな角度から集計・分析した結果、いまだに6割以上の企業がセキュリティ対策の専門組織を持たず、また4割以上が有事に備えた対策を実施していないことが分かりました。
またアンケート結果を企業規模別に見てみると、やはり規模が大きい企業ほど体制が整っており、小規模な企業ほど体制が未整備であることが見て取れます。一方業界別に見てみると、情報通信業、情報サービス業、金融・保険業、運輸・郵便業が他の業種と比べ対策が進んでいるという結果が出ました。
それ以上に注目すべきは、企業規模や業種を問わず実に多くの企業が「人材不足」「セキュリティ意識の欠如」といった人間系の課題に悩まされているという点です。
「自社のサイバーセキュリティ対策が現状抱えている課題として、最も多くの回答を集めたのが『内部のセキュリティ人材不足』と『セキュリティ意識の向上』でした。また『サイバーセキュリティ教育・研修の実施状況は十分だと思いますか?』という問いに対して、実に78%が『思わない』と回答していることから、目下多くの企業がセキュリティ人材不足や従業員のセキュリティ意識の欠如といった人的要因の課題を抱えている実情がうかがえます」(菊川)
ITリテラシーが高い若手社員でも見破れない巧みなフィッシング詐欺も
一方弊社は2023年12月に、サイバーセキュリティの専門知識を持たないビジネスパースンに対象者を絞ったアンケート調査と、セキュリティ知識の理解度を図るための簡単なテストを実施しました。理解度テストの平均正解率は51%と、かなり低い水準に留まりました。中でも「モバイル端末」「認証」「フィッシング」など、ビジネスパースンの身近にリスクが潜むサイバーセキュリティ分野の知識が不足している結果が出ています。
また回答者の年齢層別に結果を集計してみると、30代・40代の中堅・ベテラン層の正解率が比較的低いという結果が出ました。さらに役職ごとの集計では、事業部長以上と契約社員/パートの正解率が低いことも分かりました。これらの結果はある程度予想できるものですが、実は近年、20代から30代前半の比較的ITリテラシーが高い若手社員を狙うフィッシング詐欺の手口も横行しています。
特にSMSメッセージを用いるフィッシング詐欺「スミッシング」や、著名な翻訳サイトのURLやQRコードなどを悪用して詐欺サイトに巧みに誘導する手口の被害が拡大しており、警戒が必要だと菊川は指摘します。
「こうした攻撃手口は既存のセキュリティツールを巧みにすり抜けるものが多く、20代・30代の比較的若い層でも被害を被るケースが増えています。そのため、従業員のセキュリティ教育は依然として重要であるとはいえ、すべての従業員に巧妙な攻撃を見破ることを求めるのはもはや現実的とは言えません」
最新のサイバー攻撃から組織を守るために考慮すべき「4つのポイント」
こうした巧みな攻撃から自社の情報資産を守る上でのポイントとして、菊川は「経営者が対策を主導」「専門家の活用」「テクノロジーの活用」「組織全体で意識向上」の4点を挙げます。
「まずは経営者がサイバーセキュリティを重大な経営リスクとして対策を主導することです。経済産業省が公開している『サイバーセキュリティ経営ガイドライン』が参考になり、それに記されている対策を率先して実施することが重要です。自社のリソースだけではまかなえない対策については、積極的に外部の専門家の知見を取り入れて活用することがセキュリティ強化の近道になります」
なお弊社でも、サイバーセキュリティの専門家がお客様の対策の計画やロードマップの策定を支援したり、インシデント対応演習を実施したり、CSIRT構築のための支援策を提供するサービスなどを提供しています。また「テクノロジーの活用」というポイントについても、これまでEDRやNGAV、XDRといったさまざまな領域のセキュリティ製品の提供を通じて、最新テクノロジーの価値をお届けしてきました。
近年では「Cybereason MTD(Mobile Threat Defense)」というスマートフォン、タブレット向け製品の提供も始めており、これを使うことで先ほど紹介したアンケート調査でユーザーのセキュリティ意識の欠如が露わになった「モバイルデバイスのセキュリティ対策」を大幅に強化できます。
「組織全体で意識向上を図る上でも、弊社では企業のセキュリティ教育をサポートするためのサイト『サイバーリーズン・セキュリティ・アカデミー』を運営しており、さまざまなセキュリティトピックについて一般ユーザーが容易に理解できる動画コンテンツを提供しています。組織全体のセキュリティ意識の底上げに、ぜひご活用いただければと考えています」(菊川)
【調査結果資料】セキュリティ対策に関する調査結果レポート(2024年1月実施)
サイバーセキュリティ担当者を対象に、製品・体制・人材など各社が取り組んでいるセキュリティ対策の状況の実態を調査するため、昨年に続き2024年1⽉に「セキュリティ対策に関するアンケート」を実施しました。
他社がどういった対応をしてるかを把握していただき、今後のセキュリティ対策の強化に役立てていただくため、調査結果を資料にまとめました。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/survey-report/11921/