IPA(独立行政法人 情報処理推進機構)では、2005年より、情報セキュリティの倫理に対する意識調査と情報セキュリティの脅威に対する意識調査を行っている。対象は、13歳以上のPCおよびスマートデバイスのインターネット利用者で、Webアンケート形式で行われる。今回2016年度調査の実施時期は、倫理が2016年9月、脅威が2016年10月である。有効回答数は、PCが5000人、スマートデバイスが5000人であった。本稿では、報告の中から興味深い項目のいくつかを紹介したい。

インターネット使用時の不安要素

まずは、PCユーザーに対し、インターネットを使用している際に、どのような不安を感じるかを、サービスごとに尋ねた結果の一部である。

図1 インターネット使用時の不安要素(1)

図2 インターネット使用時の不安要素(2)

ニュースサイトや企業・団体のWebサイトの閲覧では、不安を感じるユーザーはかなり少ない。一方で、インターネットショッピングでは、多くの項目で不安を感じているユーザーが多い。インターネットオークションでは、詐欺被害の不安がめだつ。さらに、インターネットバンキングでは、知らない間に銀行口座から貯金引き出される不安が多い。

これらからうかがえるのは、インターネットのサービスについての理解はある程度あり、そこにどのような脅威や問題があるかまで、理解が深まりつつあることがわかる。しかし、多くの項目で、不安を感じるユーザーが減少傾向にあることも見逃せない。インターネットのサービスが普及するにつれ、サービス自体が当たり前のものとなり、不安意識がおきにくい状況になっていると思われる。

図3 インターネット上に漏えいしたら困る情報

図3は、インターネット上に漏えいしたら困る情報について、年代別、レベル別などに分類を行いつつまとめたものである。氏名や住所などの個人情報、銀行口座やクレジットカード情報など、金銭被害に直結する個人情報に対しては、かなり高い数値となっている。このあたりは、インターネット利用に限らず、個人情報保護意識の向上があると思われる。

さらに興味深いのは、PCの習熟度が低いユーザーほど困るという意識が低くなっている。インターネットは100%安全ではないという意識が低いものと思われる。PCの基本操作のみではなく、インターネットの仕組みやセキュリティなどの啓蒙・教育活動が求められるだろう。

ユーザーを狙う攻撃や脅威などへの意識

インターネット上には、多くの攻撃や脅威が存在する。その手口や仕組みについて、どこまで知っているかの調査が図4である。

図4 攻撃や脅威などへの認知

ワンクリック請求やフィッシング詐欺については、多くのユーザーがその手口や仕組みについて理解をしている。しかし、ランサムウェアでは、その名前すら知らないという割合が65.9%にもなる。さらに「名前を聞いたことがある」といった程度のユーザーまでを含めると、84.3%にもなる。逆な見方をすれば、実際にランサムウェアに感染してしまった場合、当然のことながら、対処の方法も判断ができないであろう。したがって、攻撃者の脅しのとおり、身代金を支払ってしまうことになりかねない。

ワンクリック請求やフィッシング詐欺への認知が高いのは、インターネット上の脅威として比較的古いものである。したがって、情報も多く、その手口についてふれることも少なくない。ところが、ランサムウェアや標的型攻撃といった最近、流行する脅威に対しては、まだまだ情報としてふれる機会が少ない背景があると思われる。結果として、攻撃者にとって、ランサムウェアは効果的な攻撃手法となっている。

図5 年齢、習熟度別に認知度を調査

図5は、攻撃や脅威などへの認知を年齢や習熟度別に集計したものである。やはりここでも、高齢者や習熟度の低いユーザーの認知度が低くなっている。

図6 攻撃や脅威に対する質問と正解の割合(1)

図7 攻撃や脅威に対する質問と正解の割合(2)

図6と図7は、この調査で使用された質問である。ランサムウェアを除くと、正解率が年々減少傾向にある。ランサムウェアは、図4のように理解するユーザーが圧倒的に少ないので、必ずしも理解が進んでいるとはいえないだろう。前述したインターネットサービスへの不安と同じく、セキュリティ対策への意識の低下が懸念される。

推察されやすいパスワードも減少傾向

次いで、パスワードに関する調査結果である。

図8 パスワードの設定方法

誕生日など推察されやすいパスワードは避ける、わかりにくい文字列を含むパスワードを設定しているというユーザーは、減少傾向にある。逆に、定期的にパスワードを変更しているというユーザーは増加している。しかし、これはアプリやサイトのほうで、注意喚起を行っていたり、変更しないとサービスが利用できないシステムが増加していることが原因とも思われる。習熟度の低いユーザーで、どれにもあてはまらない割合が突出している。このあたりも、適切な啓蒙・教育活動が必要であろう。

図9 複数のIDを持つユーザーのパスワード管理

図9は、複数のIDを持っているユーザーのパスワード設定についての結果である。やはり習熟度の高いユーザーほどパスワードを使い回していないことがわかる。

スマートデバイスでのウイルス認知

IPAでは、スマートデバイスのユーザーにも調査を行っている。その中から、ウイルスの認知度の調査結果を紹介しよう。

図10 スマートデバイスでのウイルスの認知度

スマートデバイスでも、習熟度の低いユーザーほど認知度が低い。実際に、ウイルスに感染したかの調査も行われた。

図11 スマートデバイスのウイルス感染経験

こちらでも、習熟度の低いユーザーが感染経験が高くなっている。仕事(学業)のみで利用するユーザーが突出している。これは、図10でもウイルスを知らないユーザーの割合が非常に高いことを関連していると思われる。

悪意ある投稿の実態

倫理に対する意識調査からは、悪意ある投稿について紹介したい。ブログやSNSなどで、他人への悪口や批判を書き込む行為である。まずは、その実態から見てみよう。PCでは、図12のようになった。

図12 悪意ある投稿の経験(PC)

図13は、スマートデバイスである。

図13 悪意ある投稿の経験(スマートデバイス)

PCユーザーでは、それほど大きな変化はない。スマートデバイスでは、わずかだが減少傾向にある。では、投稿の理由は何か。PCでは、図14のようになった。

図14 悪意ある投稿の理由(PC)

スマートデバイスでは、図15のようになった。

図15 悪意ある投稿の理由(スマートデバイス)

いずれも「人の意見に反論したかったから」と「人の意見を非難・批評するため」などが多く、増加傾向にある。さらに、投稿後の感想であるが、PCでは図16のようになった。

図16 投稿後の感想(PC)

スマートデバイスでは、図17のようになった。

図17 投稿後の感想(スマートデバイス)

いずれも、「面白かった」や「小気味よかった」といった感想が増加している。一方で、「何も感じない」が減少傾向にある。投稿には、8割が普段使用しているSNSのアカウントを使っている。投稿へのマナー意識が低下していると推察できる。

調査内容は、非常に多岐にわたる。会社や組織のセキュリティ担当者は、ユーザーの動向を知るためにも一読しておくべきだろう。