Kaspersky「2023年ヒューマンファクター調査」レポート(その1)：従業員による情報セキュリティポリシー違反は、外部からのサイバー攻撃と大差なく危険なことが判明

[本リリースは、2023年11月22日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyはこのたび、サイバー脅威への企業の対応について、主としてヒューマンファクター（人的要因）の観点から分析する調査を実施しました。世界19カ国の企業のIT部門で働くエンジニアやセキュリティ担当者でマネジャー職以上の1,260人（日本は90人）を対象とした調査（2023年ヒューマンファクター調査）^※1の結果、過去2年間に自社でサイバーインシデントが発生したと回答した人のうち、従業員が意識的に情報セキュリティポリシーに違反したことが原因のひとつとする回答が26%（日本は38%）に上りました。これはマルウェアに起因するセキュリティ侵害を原因とする30%（日本は47%）と大差ない結果となり、従業員によるポリシー違反は、外部からのサイバー攻撃と大差なく危険であるということが判明しました。

企業におけるサイバーインシデントの主な原因の一つは、人為的ミスであるという認識が定着しています。しかし、組織のサイバーセキュリティの状態は単純明快ではなく、実際には多くの要素が複雑に関係しています。調査では、従業員が企業のサイバーセキュリティに与える影響について質問したほか、企業のサイバーセキュリティに影響を与えるさまざまなグループの情報を収集するために、コントラクターなど従業員以外の社外関係者についても質問しました。

・従業員による情報セキュリティポリシー違反が、企業にとって最大の問題の一つに
従業員による純粋なミス以外に情報セキュリティポリシー違反が企業にとって大きな問題の一つであることが明らかになりました。過去2年間に自社でサイバーインシデントが発生したと回答した人のうち26%（日本は38%）が、原因のひとつとして従業員が意識的にセキュリティポリシーに違反したためと回答しました。これはマルウェアに起因するセキュリティ侵害の30%（日本は47%）と大差ない結果でした。情報セキュリティポリシーを破る意識的な行動は、IT部門の従業員とIT部門以外の従業員の両方によって行われており、その割合はITセキュリティ担当者によるポリシー違反が11%（日本は15%）、ITセキュリティ以外のIT担当者の違反が12%（日本は19%）、IT担当ではない従業員の違反が8%（日本は13%）となっています。

従業員やコントラクター個人の行動から見ると、最も一般的な問題は、情報セキュリティポリシーの禁止事項に意識的に反したり、逆に行わなければならないことを実行しなかったりすることです。調査では、過去2年間のサイバーインシデントについて、脆弱（ぜいじゃく）なパスワードを使用したことや適切なタイミングでパスワードを変更しなかったことが原因であるとする回答が25%（日本は35%）に上りました。もう一つの目を引く原因は、セキュアではないWebサイトへのアクセスで24%（日本は27%）を占めました。ほかにも、システムソフトウェアやアプリケーションを必要なときにアップデートしなかったことが21%（日本は20%）でした。 

表：サイバーインシデントの原因となった主な人的要因

・未許可のサービスやデバイスの使用が意識的な情報セキュリティポリシー違反を引き起こす
どのような行動がサイバーインシデントを引き起こしたかについて、回答者の24%（日本は27%）が、従業員やコントラクターがデータ共有に未許可のシステムを使用したことが原因と回答しました。また、21%（日本は24%）は未許可のデバイスから社内データにアクセスしたことが原因とし、20%（日本は33%）が個人メールアドレスなどにデータを送信していたことと回答しています。さらに、使用が許可されていないデバイスが業務に使用されるシャドーITのケースもあり、11%（日本は15%)がサイバーインシデントにつながったと回答しています。 

これらの無責任な行動のほかに、悪意のある行動の20%（日本は18%）が、従業員やコントラクター個人ほか、誰かの利益のために行われていたという回答は憂慮すべきことです。

Kasperskyの情報セキュリティ部門責任者を務めるアレクセイ・ヴォフク（Alexey Vovk）は次のように述べています。「どのような組織においても、外部からのサイバーセキュリティ脅威だけではなくインシデントにつながる可能性のある内部要因は、調査結果が示すように従業員にあることがわかっています。そのため、セキュリティを確保する際には、情報セキュリティポリシー違反を防止する方法を検討すること、つまりサイバーセキュリティに対する統合的なアプローチを取ることが重要になります。サイバーインシデントの26%が情報セキュリティポリシー違反によるものであることに加え、38%（日本は49%）が人為的ミスにより発生しています。この数値は驚くべきものです。セキュリティポリシーを策定して実施し、さらにサイバーセキュリティに対する従業員の意識を高め、組織のサイバーセキュリティ文化を最初からつくり出す必要があります。こうすることで、従業員もより責任を持って規則に取り組み、違反した場合に起こり得る結果を明確に理解できるようになります」

■ 調査結果およびレポートは、Kaspersky Dailyブログ「サイバーセキュリティにおける“ヒューマンファクター”の再定義」でご覧いただけます。

※1  2023年ヒューマンファクター調査の概要は以下の通りです。
調査期間：2023年8月4日～ 2023年8月25日
調査方法：インターネット調査（英国 アーリントンリサーチ社）
調査対象：世界19カ国の18歳以上で、従業員数100人以上の組織のITエンジニアとITセキュリティエンジニアでマネジャー職以上の1,260人（世界の調査結果には、日本も含まれます）。
英国（90人）、ドイツ（90人）、フランス（90人）、スペイン（90人）、米国（90人）、ブラジル（90人）、チリ（15人）、コロンビア（15人）、メキシコ（65人）、インド（90人）、インドネシア（35人）、カザフスタン（50人）、ロシア（90人）、サウジアラビア（45人）、南アフリカ（45人）、トルコ（45人）、アラブ首長国連邦（45人）、中国（90人）、日本（90人）。内訳はグローバルで男性735人（日本49）、女性522人（日本40）、そのほか3人（日本1）です。
・本リリースに記載のスコアはMA（複数回答）です。
・本リリースのスコアの構成比（％）は小数点以下を四捨五入しているため、合計しても必ずしも100％にならない場合があります。