2021年06月21日
デジタルアーツ株式会社

2020年にインシデントのあったテレワーク導入組織のセキュリティ対策を調査
セキュリティインシデントの8割以上がWebアクセスとメールに起因
テレワーク導入組織はインシデントを経験しつつも、テレワーク継続意向は100%              ~テレワーク恒久化に向け、メールとWebを使う攻撃に合わせた入口対策が改めて重要に~

 情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード2326)は、全国の民間企業や官公庁のITシステム・情報セキュリティ担当者1,065名を対象に、「テレワーク導入・導入検討中の組織に対するセキュリティ対策意識調査」を実施しました。

 テレワークの導入は新型コロナウイルス感染症拡大の影響で急速に進みましたが、同時にセキュリティ対策が不十分なテレワーク環境を狙ったサイバー攻撃も増加しています。このような背景を踏まえ、テレワーク実施組織によるセキュリティインシデント(保安上の脅威となる事象、以下インシデントとする)の発生状況やセキュリティ対策に対する意識と現状の実施状況について調査しました。調査対象は、自組織のインシデント状況を把握し情報セキュリティ対策の意思決定に関わり、かつ、2020年1月~12月に何らかのインシデントが発生した組織としています。

セキュリティインシデントの8割以上がフィッシングメールや不正サイトへのアクセスなどWebアクセスとメールに起因

 全国の民間企業や官公庁のITシステム・情報セキュリティ担当者1,065名を対象に、2020年に組織内でどのようなインシデントが発生したかを調査したところ、インシデントの8割以上がWebアクセスとメールに起因していることがわかりました。最近では元職員による営業秘密の持ち出しなど内部不正も話題になりましたが、依然として内部攻撃よりも外部攻撃のインシデントが多いことが明らかになりました。

 回答者1,065名のうち、「フィッシングメールの受信」は695名と全回答者数の65.3%、「ビジネスメール詐欺のメール受信」は534名で全回答者の50.1%と、上位2項目では組織の半数以上がメールによるインシデントを経験していることがわかりました。「フィッシングメールの受信」や「ビジネスメール詐欺のメール受信」、「不正サイトへのアクセス」のほか、インシデントの上位に位置する標的型攻撃やランサムウェアの感染なども組織を狙ったメールやフィッシングメール、改ざんサイトの閲覧などがインシデント発生の主な原因となっています。

 こうしたインシデントのあった組織でも、リスク管理体制やサイバー事故対応の専門チーム「CSIRT(シーサート)」が概ね機能していると回答した組織は8割以上に上り、リスクに対する危機意識は高いことがわかりました。
 
 また、これらの組織は情報セキュリティ対策を「重要課題」と位置付けていますが、さらに重みのある「経営課題」と位置付ける組織は全体の54.6%と、インシデントがあったのにも関わらず全体の約半数に留まっています。

テレワーク導入組織ではテレワーク継続意向100%、テレワークは恒久化?セキュリティでは出口対策・内部対策を重視

 テレワーク導入組織のうち、テレワークを「全社的に導入」しているのは60%、「大多数が導入」は23.9%、「一部部署のみ導入」が16.1%となり、テレワークが広く浸透していることがわかりました。テレワーク導入組織のテレワーク継続意向は、「導入継続予定」が75.4%、「導入継続見込みだが未定」が24.6%とテレワーク継続意向は100%という結果になり、既にテレワークを導入している組織では、テレワークは恒久的に運用していくことが見込まれます。

 テレワーク環境では、社内ネットワークや社内ファイルサーバーへの接続が必要となりますが、VPN(仮想私設通信網)やリモートデスクトップ(遠隔地から社内のパソコンを操作)などが多く利用されています。オフィスから持ち出すPCの管理など社内ルールは約9割が「徹底」となっていますが、社内ネットワークや社内ファイルサーバーへの接続やセキュリティ対策について、およそ半数が「十分ではない」と回答しています。テレワーク時のセキュリティ対策で重視する領域の上位は、端末やサーバ環境、従業員のセキュリティ教育、ルール作りなどで、概ね「対策済み」となっています。エンドポイント対策としても主要な対策は概ね5割以上の組織で網羅されており、重視する領域はアンチウイルスや個人情報(ファイル)、電子メールなどとなっています。

セキュリティ対策として注目される「ゼロトラスト」「SWG」「SASE」の検討が7割以上と関心が高い

 セキュリティ対策として注目される、すべて信頼しないという考え方からセキュリティ対策を行う「ゼロトラスト」、Webセキュリティ管理機能を統合したクラウドサービス「SWG(セキュアウェブゲートウェイ)」、ネットワークセキュリティ機能とWAN機能の両方を提供する「SASE(サシ―)」の検討状況を調査したところ、どれも7割以上が検討とセキュリティ対策への関心が高いことがわかりました。
 
 ゼロトラストについては、全体の7割以上がゼロトラストに基づき対策を検討しています。また、SWGも8割以上が検討しており、5,000人以上の組織では57.9%と半数以上がSWGを導入済みであることがわかりました。最新のセキュリティフレームワークの一つであるSASEも7割以上が検討している状況です。ただ一方で、従業員数199人以下の中小企業のうち約5割はゼロトラストやSASEについて「意識していない」「わからない」としており、認知や理解が進んでいないことが明らかになりました。

組織規模に関わらず外部攻撃によるインシデントが発生 入り口となるWebアクセスとメールの対策がますます重要に

 今回の調査結果より、テレワーク導入組織が2020年に経験したインシデントはWebアクセスとメールに起因する外部攻撃であり、組織規模に関わらずインシデントに遭遇していることがわかりました。これらの組織はセキュリティ対策を重要課題と位置づけ、ゼロトラストなど従来の境界型に依存しないセキュリティモデルの対策も重視するなど決して対策を疎かにしているわけではありません。ただし、多くの組織が重要視するのは、従業員の持ち出し端末やセキュリティルールの構築、従業員のセキュリティ教育といった人的資源の対策の優先度が高いのも事実です。
 
 メールやWebアクセスに起因するインシデントがほとんどであるのに対して、これらの対策よりも端末や人的資源の対策が優先される理由は、サイバー攻撃が巧妙化したことによりシステムによる入口対策が困難とされ、侵入された際の内部対策や出口対策が重視されるようになったためと考えられます。しかし、今回判明したように、侵入経路は依然としてWebアクセスとメールがほとんどです。
 
 今回調査したテレワーク導入組織では、セキュリティの脅威を認識しつつもテレワークを前向きに継続していく姿勢が伺えました。アフターコロナの日本では、テレワークを基本の働き方とするなど今後の働き方はさらに多様化します。働き方が多様化する中で端末管理や従業員のモラルといった人的資源の対策だけでは限界があり、多くのインシデントの原因となっているWebアクセスとメールを使った主要な攻撃手法に合わせた入口対策を実施していくことが改めて重要になります。

 デジタルアーツでは定期的に行う情報セキュリティに関する調査を通じて、企業・官公庁をターゲットとするインシデントが増加している傾向から、経営の根幹を揺るがしかねない情報漏洩を防止するための注意喚起をし続けることで、インシデントの減少に寄与してまいる所存です。引き続き、情報セキュリティメーカーとして全国レベルの調査結果を通じてさまざまな情報を提供してまいります。


【参照】調査結果の詳細をグラフ・解説入りで参照していただけます。
▶「テレワーク導入組織に対する セキュリティ対策意識調査」(PDF形式)

以上

デジタルアーツについて
デジタルアーツはWebやメール、ファイルなどのセキュリティソフトウェアの提供を核に事業展開する情報セキュリティメーカーです。
1995年の創業以来、「より便利な、より快適な、より安全なインターネットライフに貢献していく」を企業理念とし、情報漏えい対策や標的型攻撃をはじめとするサイバー攻撃対策を実現する最先端の製品を、企業・官公庁・学校・家庭向けに提供しています。
https://www.daj.jp