コロナ禍によりリモートワークが急増している状況などから、企業のIT担当者はさらなるセキュリティ対策に追われる日々が続いている。しかし2020年はじめに企業のIT担当者を対象に行ったアンケートからは、7割ものIT担当者がエンドポイントセキュリティに不安を感じているという実態が明らかになった(過去記事「エンドポイントセキュリティ対策に関する最新調査からみえた、次世代アンチウイルスの課題」参照)。そして不安を感じている具体的な理由として目立ったのが「セキュリティ対策に対する社内の理解が得られない」ことで、実に3割強を占めていたのである。
そこで今回はこの「社内のセキュリティに対する不理解」という課題を深堀りすべく、実際に企業の情報システム部門の人々が、どんな立場の人に対して、どのような「社内の不理解」を感じているのかについてアンケート調査を実施した。その結果を紐解きながら「不理解」の要因を探るとともに、解決策を探ってみたい。
経営層・管理職のセキュリティに対する理解不足が顕著に
まず、社内のどのような立場の人がセキュリティへの理解がないと感じているのかを質問したところ、経営層が42.1%、管理職が31.6%といったように、上位層からの不理解を感じているIT担当者が多いことがわかった。しかし一方で、一般社員の不理解を感じている割合も26.3%を占めていることから、社内のセキュリティ教育の不十分さが問題の一端としてあることも考えられる。
次に、セキュリティに対する経営層の不理解についての具体的な内容を問うたところ、大きくふたつにわかれることとなった。ひとつはセキュリティ対策予算の問題であり「予算の確保が十分でない」といった意見。もうひとつが「経営層のセキュリティへの知識不足」だ。
また「セキュリティの不理解を物語るようなエピソードや、印象的なセリフがあれば教えてください」という自由回答の設問では、いまだに「うちは有名企業ではないからサイバー攻撃など受けるわけがない」「社内にはハッカーはいないので、内部からの攻撃について対策は不要だろう」などと考えている経営層も多くみられた。そのため「いつ起こるかわからない不確実な要素にそこまで予算をつけることはできない」というような誤った認識が経営層の間で生じてしまっているのかもしれない。
次に、管理職の不理解に関しては、まず情報システム部門の管理職であっても「そもそもITやPCに不理解な人間が上司・上層部にいる」といった現実があるようだ。また企業によっては「数をこなせ」といった古い“ノルマ重視”の考えを持ち続けている管理職なども一部には存在しており、そうした管理職は対策の“数”が重要であり“中身”については考慮していないケースもありそうだ。
さらに、セキュリティに対する一般社員の不理解については「データの持ち出し」や「パスワードのメモ」など、日ごろの業務のなかでつい行ってしまいがちな誤った行動が多くみられた。
そして階層に関係なく目立ったのがメールに関する回答だ。「スパムを開いてしまう人がいる」ことや「メールの誤送信」の多発など、うっかりミスをしやすい状況にあることが伺える。また「個人情報が入ったメールが送られてくる」など、正しい知識があれば防げるリスクも目についた。
特にリモートワークでは、社内外関わらずコミュニケーションはITツール頼りとなるが、メールの場合、本当に送信者が正しいかなどにおいて信頼性が低く、標的型攻撃では送信者を偽装したメールもよく用いられるので、引き続き注意が必要である。
“わかってはいてもとても手が回らない”がIT担当者の置かれる厳しい状況
企業のIT担当者は社内からのセキュリティに対するさまざまな不理解を抱えていることがわかったが、そもそも情報システム部門は、どの企業においても慢性的な人手不足に悩まされている現状がある。
さらに専門的な部署といえるSOCやCSIRTのようなセキュリティ専門組織の有無について質問したところ、「ある」と答えたのは全体の3割程度にとどまった。
これらの結果から見えてきたのは、事後対策に関わる専門組織などセキュリティ専門組織を持たず、自身の部署の人数に制限があるなか、社内からのセキュリティへの不理解という問題も抱えつつも、自らの使命を全うすべく孤軍奮闘しているIT担当者が多いという現状ではないだろうか。
そうした人々が背負っている重荷を軽減するために強調したいのは、必ずしもセキュリティの専門チームが必要ではないということだ。外部の専門家によるサービスを活用することを視野に入れることで、本来の業務に割けるリソースが増加することだろう。
そして「セキュリティへの不理解を解消するために、何から取り組みたいと思いますか?」という設問に対して「セキュリティに対するリテラシーの向上」や「セキュリティに対する社内教育」といった回答の多さからは、不理解の原因がわかっていながらも、そこまで手が回らない、というのがIT担当者の本音ではないかと想像できる。
低コストかつシンプルな運用で最先端のセキュリティ対策を実現
このように、高まるサイバー攻撃のリスクに対して、多くのIT担当者は何らかの対策が必要だという危機感を抱きながらも、社内の不理解やそれによるコスト不足、体制の不備などが原因となって十分な対策を打てていないという現実が見えてきた。
十分なセキュリティ対策を打てない状況下でも、攻撃手法は日々高度化・複雑化している。そのため、低コストかつ簡易な運用でありながらも、点で守るのではなく複合的に守ることができるような、包括的なセキュリティソリューションの活用が解決の鍵を握るだろう。
複合的な防御は、アンチウイルスなどのEPP(Endpoint Protection Platform)による防御策と、EDR(Endpoint Detection and Response)による事後の対処策をシームレスに統合することで可能となる。そうしたより高度なセキュリティ対策を低コストかつシンプルな運用管理で実現するのが、キヤノンマーケティングジャパンが提供しているEDR製品「ESET Enterprise Inspector(以下、EEI)」だ。EEIは、ESET社の30年以上にわたるエンドポイントセキュリティ対策の知見をもとに開発されたEDR製品であり、エンドポイント内にひそむ脅威の検出、封じ込め、侵害範囲の可視化を行い、迅速なインシデント対応を支援する。
ESETの強みのひとつとして、アンチウイルス対策ソフトやEDRなどのセキュリティソリューションを統合できる点がある。同一ベンダーだからこそできる未然対策と事後対策のシームレスな統合を、シンプルな管理で実現しているのがEEIだ。
また、EDRは導入すれば終わりではなく、日々の運用監視が重要となってくるが、先のアンケート結果からも明らかなように、セキュリティ専任チームを用意するのは困難という企業も多い。そこでキヤノンマーケティングジャパンでは「EDR運用監視サービス」も提供している。
このサービスでは、専門のセキュリティエンジニアが24時間365日の体制でEEIのアラートを監視・分析する。そして何かインシデントが生じれば、その危険度に応じて速やかに顧客のもとへと通知するのである。さらには、侵害端末のネットワーク隔離や不正プロセスの強制停止など、インシデントレスポンスの初動対応も行ってくれるので、セキュリティ侵害を最小限に抑えられる。
運用監視対象端末1台あたり年額2,300円(エントリープラン)という圧倒的なコストパフォーマンスもこのサービスの大きな特徴といえる。外部の専門家による高度なインシデントレスポンス支援を低コストで実現するサービスのため、企業規模を問わずすべてのIT担当者のセキュリティ運用負荷を軽減できる。こうしたソリューション/サービスの存在は、さまざまな課題を抱えつつも自社のセキュリティを確保するために日々尽力するIT担当者にとって、一筋の光明が見いだせるに違いない。
セキュリティ最前線
サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。
[PR]提供:キヤノンマーケティングジャパン