デジタルアーツは1月18日、「第2回 勤務先における標的型攻撃の意識・実態調査」の結果を発表した。これによると、従業員の45.3%は勤務先が標的型攻撃の対象になると認識しており、また情報システム管理者の75.0%がセキュリティ対策のさらなる強化を希望しているという。

同調査は同社がFastaskに依頼し、全国の20歳以上の男女就業者を対象に2016年11月10日~11日の2日間にかけてインターネット調査により実施したもので、有効回答数は1436人、内訳は情報システム管理者が332人、従業員が1104人。

従業員の標的型攻撃への理解度と意識を見ると、まず標的型攻撃と聞いて思い浮かべる内容は「ウィルスに感染して会社のPCが遠隔操作される」が51.4%と最多で、以下「添付ファイルがある不審なメールが送られてくる」(48.9%)、「外部から会社のWebサイトが改竄される」(43.2%)と続く。勤務先が標的型攻撃の対象になり得るという意識は「ある」が45.3%、「わからない」が30.7%、「ない」が24.0%だった。

勤務先が標的型攻撃の対象になり得るか否かへの意識 資料:デジタルアーツ

普段から気を付けていることを尋ねたところ「知らない送信者からのメールの添付ファイルは開封しない」が70.0%で最も多く、以下「不審なWebサイトを閲覧しない」(43.0%)、「会社で認められていないソフトをインストールしない」(41.0%)と続く。

勤務先で情報セキュリティに関するルールの有無では「ある」という回答者が60.7%、「ない」が31.3%、「答えられない」が8.0%だった。情報セキュリティに関する社内研修受講経験では「受けたことはない」が58.1%で最も多く、「同じ勤務先の専門部署による講習を受けた」が29.6%、「外部の専門機関・専門スタッフの講習を受けた」が5.8%だった。

標的型攻撃における情報システム管理者の意識と対策について尋ねたところ、勤務先が標的型攻撃の対象になりうるという意識は「ある」が69.9%と最多であり、「ない」が19.0%、「わからない」が11.1%だった。

標的型攻撃に遭遇した場合に勤務先での致命的な想定被害を聞くと、「顧客情報が漏洩する」が58.4%で最も多く、以下「人事関連・従業員の情報が漏洩する」(28.9%)、「知財・技術情報が漏洩する」(26.8%)と続く。標的型攻撃で被害を受けた後に想定している事後対応策では、「顧客への謝罪」が54.2%と最多であり、以下「再発防止策の策定作業」「被害状況の調査」(いずれも49.1%)、「顧客への補償・補填」(40.1%)の順だった。

現在、行っている対策は、ウイルス対策が75.9%と最多であり、以下ファイアウォール(65.4%)、メール・フィルタリング(47.6%)と続く。今後のセキュリティ対策への意向では、「さらに高めたい」が75.0%に上った半面、「現状維持で良い」とする回答が24.4%あった。

具体策としては、ウイルス対策が55.8%と最も多く、ファイアウォールは53.0%、従業員への情報セキュリティ教育とWebフィルタリングは共に38.2%だった。従業員に対しての教育や情報発信として行っていることを聞いたところ、「メールでの注意喚起・情報発信」が59.3%と最多であり、以下「専門部署による研修会・勉強会で直接レクチャー」(43.7%)、「専門企業からの派遣講師による研修会・勉強会で直接レクチャー」(29.2%)と続く。

今回の調査結果の傾向として、全般的に標的型攻撃やセキュリティにおける意識が情報システム管理者と従業員では乖離があることから、従業員への教育や情報共有において再度見直す必要があると同社は考えている。また、2016年と比較して全体的に標的型攻撃対策の導入が進んでいるとしながらも、昨今のサイバー攻撃による情報漏洩事件が増加傾向にあることを考えると、機密情報が漏洩した際に企業が被る損害は甚大であり、現状の危機意識が高いとは決して言い切れないとする。

サイバー攻撃は日々攻撃手法が進化しているため、従業員個々の日常の意識を向上していくための教育を企業が早急に行うこと、また企業としても現在の対策を見直し、多層防御と万が一漏洩した場合の対策まで検討し、備えておくことが重要だと同社は提言している。