デジタルアーツは6月21日、「テレワーク導入・導入検討中の組織に対するセキュリティ対策意識調査」を実施し、その結果を発表した。

  • Q.あなたの組織ではどのようなセキュリティインシデントが発生しましたか?(複数回答可)

    Q.あなたの組織ではどのようなセキュリティインシデントが発生しましたか?(複数回答可)

同調査は、全国の民間企業や官公庁のITシステム・情報セキュリティ担当者1,065名を対象に、テレワーク実施組織によるセキュリティインシデントの発生状況やセキュリティ対策に対する意識と現状の実施状況について調査したもの。2020年1月~12月に何らかのインシデントが発生した組織が調査対象となっている。

2020年に組織内でどのようなインシデントが発生したかを調査したところ、インシデントの8割以上がWebアクセスとメールに起因し、内部攻撃よりも外部攻撃のインシデントが多いことが判明したという。

「フィッシングメールの受信」は65.3%、「ビジネスメール詐欺のメール受信」は50.1%と、上位2項目では組織の半数以上がメールによるインシデントを経験。こうした組織でもリスク管理体制やサイバー事故対応の専門チーム「CSIRT」が概ね機能しているのは8割以上とリスクに対する危機意識は高い。しかし、情報セキュリティ対策を「経営課題」と位置付ける組織は全体の54.6%と全体の約半数に留まっているという。

また、テレワーク導入組織のうち、テレワークを「全社的に導入」しているのは60%、「大多数が導入」は23.9%、「一部部署のみ導入」が16.1%で、テレワーク継続意向については、「導入継続予定」が75.4%、「導入継続見込みだが未定」が24.6%と、テレワーク継続意向は100%という結果となった。

テレワーク環境では、VPNやリモートデスクトップなどが多く、オフィスから持ち出すPCの管理など社内ルールは約9割が「徹底」しているが、社内ネットワークや社内ファイルサーバーへの接続やセキュリティ対策について、半数が「十分ではない」と回答。テレワーク時のセキュリティ対策で重視するのは、端末やサーバ環境、従業員のセキュリティ教育、ルール作りなどで、概ね「対策済み」となっている。エンドポイント対策としても主要な対策は概ね5割以上の組織で網羅され、重視する領域はアンチウイルスや個人情報、電子メールなどとなっている。

また、セキュリティ対策として注目される「ゼロトラスト」、Webセキュリティ管理機能を統合したクラウドサービス「SWG」、ネットワークセキュリティ機能とWAN機能の両方を提供する「SASE」に関しては、いずれも7割以上が検討とセキュリティ対策への関心が高いことがわかった。

今回の調査結果より、テレワーク導入組織が2020年に経験したインシデントはWebアクセスとメールに起因する外部攻撃であり、組織規模に関わらずインシデントに遭遇し、入経路は依然としてWebアクセスとメールがほとんどであることが明らかになり、主要な攻撃手法に合わせた入口対策を実施していくことが改めて重要になるとしている。