サイバー攻撃による事故はとどまるところを知らず、企業などの組織における管理体制を強化する動きが進んでいる。しかし、その動きに反するように、多くの従業員のセキュリティへの意識は希薄であるという事実が調査から浮かび上がった。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
ID管理プロバイダーであるセールポイント社は、オーストラリア、フランス、ドイツ、イタリア、スペイン、英国、米国において1,000人以上の従業員を抱える企業・組織に在籍する1,600人に意識調査を実施した。その調査をまとめた、「2018年市場意識調査」では、従業員のサイバー攻撃への備えが不十分であることが明らかになった。
調査対象者のうち4人に3人 (つまり75%) が、複数のアカウントで重複したパスワードを設定していると答えている。2014年の調査では、重複パスワードを設定しているのは従業員の56%「のみ」であった。
出典: セールポイント社、2018年市場意識調査
「デジタルネイティブ」といわれる18~25歳の若年層は他世代よりもセキュリティのことを熟知しているだろうと考えがちだ。しかし、調査結果によるとこの世代において、同じパスワードを使い回しているのはなんと87%にも上る。そのうち、約半数が個人アカウントと業務用アカウントで同じパスワードを使用している。
さらに、「シャドーIT」と呼ばれる、情報システム部門から許可されていないソフトウェアを業務利用している回答者の比率は、2014年の20%から31%へと増加。世代を問わず従業員は、作業効率を上げることばかりに意識を向け、セキュリティについてそこまで深刻に捉えていないのだ。
「組織のIT部門を厄介な存在と感じている」という回答が55%に達している事実からも、従業員と情報システム部門の連携がうまくいっていない様子がうかがえる。
実際のところ、従業員の13%が、自身のパソコンがハッキングされていると感じても速やかに報告はしないと答えている。一方で、他の従業員のパソコンがハッキングされたことが原因でサイバー攻撃が発生した場合、情報システム部門に責任を求めるだろうと49%の従業員は回答している。
今日のデジタル化の進展に伴い、企業・組織ではさまざまな軋轢が生じている。しかし、デジタル時代に求められるビジネスの在り方を考慮すると、安易なセキュリティ費用の削減は危険でしかない。その結果は、大規模な組織に限らず中小規模の組織においても現在直面しているリスクをより加速させてしまうことになるだろう。