大企業向けクラウドサービスを手掛けるドリーム・アーツは1月9日、従業員数1000人以上の企業に所属する経営層および情報システム部門500人を対象に実施した情報セキュリティに関する調査結果を発表した。

その結果、情報セキュリティに関する脅威への対策について、9割以上が概ね十分な対策ができていると回答したにも関わらず、約6割が過去1年間に情報セキュリティインシデントに遭遇していることが分かった。

根拠なき無責任な過信

調査対象者500人の内訳は、経営層50人、情報システム部の係長以上200人、情報システム部の一般社員250人。「重要な情報」(不正なアクセスによりそれが改ざん・破損・紛失・滅失で利用不可能になった場合、そのサービス提供に支障が生じ、事業活動が止まるなど影響が特に大きいものと定義)を会社として扱っている企業が対象だ。

「重要な情報」のセキュリティ対策をどの程度実施しているか聞いたところ、「十分対策している」は52.6%、「おおむね十分だが改善の余地はある」まで含めると91%にのぼった。

  • 「重要な情報」のセキュリティ対策について

    「重要な情報」のセキュリティ対策について

一方で、過去1年間にセキュリティインシデントの経験があるか聞いたところ、63.4%が経験があると回答。 十分な対策をしていると回答していたが、実際には多くの企業でセキュリティインシデントが発生している状況が判明した。

  • 過去1年間のセキュリティインシデント経験の有無

    過去1年間のセキュリティインシデント経験の有無

また、インシデントのうち最も多かったものは「メールの誤送信」という社内起因のインシデントではあるものの、2位以降は「ランサムウェア攻撃」「マルウェア感染」「外部からの不正アクセス」と続いた。 多くの企業で外部からの攻撃によるセキュリティインシデントが発生しており、情報セキュリティに十分な対策がされていない状況が明らかになった。

  • 過去1年間に経験したセキュリティインシデントの詳細

    過去1年間に経験したセキュリティインシデントの詳細

「十分対策している」という回答が最も多いのは経営層だった。役職別に分析した結果を見ると、役員クラスでは68%となり、「おおむね十分だが改善の余地はある」を含めると、管理職(部長クラス)、経営層では、自社の情報セキュリティの現状について事実を把握できていないことが疑われる結果となった。

  • 役職別「重要な情報」に対する情報セキュリティ対策状況

    役職別「重要な情報」に対する情報セキュリティ対策状況

9日の記者説明会に登壇したドリーム・アーツ取締役執行役員 最高技術責任者(CTO)の石田健亮氏は「経営層になると自社の情報セキュリティの現状について事実を把握できていないのではないかと疑われる結果だ。非管理職層では、情報セキュリティインシデントにまで至らなくとも日々発生する攻撃に対応しており、ヒヤリハット事例に触れていることでこの差が生まれたのだろう」と述べた。

  • ドリーム・アーツ取締役執行役員 最高技術責任者(CTO) 石田健亮氏

    ドリーム・アーツ取締役執行役員 最高技術責任者(CTO) 石田健亮氏

無知が安全性を蝕む

企業は「重要な情報」に対してどのようなセキュリティ対策を実施しているのだろうか。 同調査結果によると、基本的な対策となる適切な「アクセス制御」がトップとなり、2位に「データ暗号化」が入った。

  • 「重要な情報」に対するセキュリティ対策の詳細

    「重要な情報」に対するセキュリティ対策の詳細

⼀般に、通信経路の暗号化は、経路上でのデータの盗み見を防ぐもの。また、ディスクに記録しているデータの暗号化は、端末やサーバーに不正アクセスを許した場合などデータが含まれる媒体・環境が攻撃者によるアクセス可能な状況に置かれた場合であっても、情報の漏洩を防ぐための対策だ。

データの暗号化は、通信中、保存中、計算中の3つの概念に分類される。特に計算中の暗号化は高度な技術であり、「⼀般のアプリケーションで利用されているケースはほとんどない」(石田氏)という。

しかし、調査結果は意外なものだった。高度で革新的な技術であることから、まだ広く普及していないと考えられる計算中の暗号化を実施している割合が49.8%にのぼったのだ。

  • 「重要な情報」についての暗号化

    「重要な情報」についての暗号化

「これは回答者がデータの暗号化技術について理解していないことを意味しており、さらに言えば実施していると回答していることで理解していないことを認識していない、という状態を示唆している」と石田氏は警鐘を鳴らす。

多くは保存中のデータの暗号化まで実施されていればセキュリティについて配慮していると言えるといい、理解している回答者は21%にすぎないことになる。「これは危険な状態である」(石田氏)

次に、「重要な情報」をどこに保存するべきと判断しているのかを調査したところ、「オンプレミスのシステムに保存されるべき」との回答が53.8%となり、クラウドのシステムの27.5%の約2倍となった。

  • 「重要な情報」の保存先

    「重要な情報」の保存先

この理由についての回答は「自社でコントロール可能な環境に保存できるから」が一番多く、「各国当局によるアクセスの懸念」「クラウドサービス事業者の運用が信頼できない」との回答が続いた。

  • 「重要な情報」はオンプレミスに保存されるべきと考える理由

    「重要な情報」はオンプレミスに保存されるべきと考える理由

クラウドサービスにデータを保存することでコントロールが効かなくなることを懸念している企業が多く、データの保存、活用においてクラウドサービスへの信頼が不十分であることが明らかになった。

石田氏は「この懸念はもっともで、重要なデータであれば機密性、完全性、可用性の観点からそれをクラウドサービスに保存してもよいか慎重な検討が必要だ。一方で、オンプレミスだから安心というわけではない。データの暗号化についての知識すら乏しい状況で、オンプレミスシステムを適切に管理・運用できるとは思えない」と述べた。

SaaS選定時の重要ポイント

同調査では、クラウドシステムのうちSaaS(Software as a Service)について、SaaSベンダーの選択基準も聞いた。

これによると、SaaSベンダーの選択基準としてISMSなどの第三者機関による認定をあげた回答者が45.2%と圧倒的で認証方式など技術基準を大きく上回った。

  • SaaSベンダー選定の際に重視するセキュリティ対策の観点

    SaaSベンダー選定の際に重視するセキュリティ対策の観点

ISMSは情報セキュリティを適切に管理している組織であることを認証するもので、体制や手順が整備されているかどうか、内部で承認が適切に行われているかどうか、記録は保持されているかどうか、インシデント発生時のマネジメントは適切であるかどうかといった観点で評価されている。つまり、実際にどのような設計でデータのセキュリティが担保されているかについては評価されていない。

石田氏は「調査結果からは、多くの組織では技術基準について適切に評価することができておらず、第三者機関による認証をもってよしとしていることが見えてくる。多くのクラウドサービス事業者は、自社なりに適切と考える設計によりユーザーのデータを取り扱っているものと思うが、そのレベルはまちまちであるし、ベンダー側による万⼀のセキュリティ事故の発⽣の可能性もゼロではない」と説明した。

「セキュリティ対策には、コストやリソースがともない、優先順位が後回しにされがちだ。しかし今一度、⾃社のセキュリティ対策を徹底的に見直す必要があるのではないだろうか。私たちは常にセキュリティ脅威に対する劣後と脆弱性を自覚し、油断・慢心を厳しく戒める必要がある」(石田氏)