Sophosは8月23日(現地時間)、IT担当者を担当にした電子メールセキュリティ調査の結果を公開した。調査からは、クラウドベースの電子メールサービスに対する追加的な保護が必要だという声が明らかになった。

この調査は、SophosのSpiceworksコミュニティーと同社のブログNaked Securityを通じて行ったもの。Sophosが最新の電子メールゲートウェイソリューション「Sophos Email」の発表に合わせて公開した。

まずは、企業はクラウドベースの電子メールに急速に移行しているトレンドを示すデータから。この分野は、Microsoft(「Microsoft Exchange Online」「Office 365」)、Google(「Google Apps for Work」)ら大手をはじめ、多数のソリューションがある。調査では、オンプレミスサーバーの利用は62%と、依然として最多だが、「Office 365」が22%、「Google Apps for Work」が14%となるなど、クラウドベースの電子メールサービスの利用は38%に達していることがわかった。

主要なメールプラットフォームは?(同社ブログより)

企業の多くがセキュリティでもクラウドベースのソリューションを選択している。回答者の43%が「電子メールセキュリティにクラウドベースの技術を利用している」と回答、この比率は、2番目に多く挙がった「専用の電子メールハードウェアアプライアンスを利用」の2倍となった。

回答者の18%がUTMハードウェアアプライアンスの一部として電子メール保護を使っていた。このほか、「仮想化した専用アプライアンス」(12%)も挙がったが、「仮想化されたUTM」はわずか5%だった。

どのタイプのセキュリティソリューションをemailセキュリティに使っていますか?(同社ブログより)

利用が最も多かったMicrosoft Office 365のユーザーに最大の懸念を尋ねたところ、「システムの信頼性」(サービスのダウンタイムや障害)が27%と最も多く、次いで「セキュリティの欠如」(25%)が多く挙がった。このほか、「システムの性能」(16%)、「規制遵守」(14%)と続いている。

Office 365プラットフォームをメールプラットフォームとして使う場合の最大の懸念は?(同社ブログより)

セキュリティという点では、IT担当者はOffice 365のセキュリティに満足しているとは言い切れない--50%のユーザーが、Office 365のセキュリティ拡張のためにサードパーティのセキュリティソリューションが不可欠だと回答している。

Office 365のセキュリティ拡張のためにサードパーティのセキュリティは不可欠?(同社ブログより)

Gartnerは2018年までにOffice 365実装の40%がサードパーティの保護に依存することになると予想しており、調査の結果もそれに沿うものとなった。なお、2015年時点ではサードパーティの利用は10%以下となっていた。

ランサムウェア、悪意あるファイルの添付、悪意あるURL、ウイルス、フィッシングの5つが、ユーザーが感じているセキュリティ脅威の上位5つだ。半分以上の回答者がこれら5つに対する脅威を明らかにしている。電子メールに起因する脅威を認識しているにもかかわらず、回答者の4人に1人は自社のセキュリティ設定やポリシーが有効なものかどうかを滅多に/全くレビューしていないとしている。最も多いのは「たまに」で40%となった。

どの位の頻度でメールのポリシーやセキュリティ設定をチェックしているか?(同社ブログより)

調査では、自社の現在のソリューションのうちどれを改善する必要があると感じているのかについても訊いた。その結果、高度なサンドボックス機能、データ保護(暗号化、データ損失予防などを含む)が求められていることがわかった。

電子メールに含まれているURLをユーザーがメールを受信した時ではなく、クリックした際にチェックするTime-of Click保護についても、悪意あるURLに対する対策として多く挙がった。

Sophosでは今後数週間かけて詳細を分析する予定だが、現時点でいえることとして、「ITチームは電子メールは主要な脅威のベクトルであり、インフラとセキュリティがクラウドに移行しつつあることを認識しており、企業は高度になる脅威に対応するために追加的な保護を求めている」とまとめている。