今春、Kaspersky Labとビジネス調査を専門にするグローバル調査会社B2B International が共同で実施した2013 Global Corporate IT Security Risks surveyにより、多くの企業が IT セキュリティに関する従業員教育を行う際に、外部の IT コンサルタントや IT セキュリティに関するプロへの業務委託を行うのではなく、自社内の IT 部門やテクニカルサポート部門に担当させていることが分かりました。
本リリースは、2013年 9 月 7 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
今春、Kaspersky Labとビジネス調査を専門にするグローバル調査会社B2B International が共同で実施した2013 Global Corporate IT Security Risks surveyにより、多くの企業が IT セキュリティに関する従業員教育を行う際に、外部の IT コンサルタントや IT セキュリティに関するプロへの業務委託を行うのではなく、自社内の IT 部門やテクニカルサポート部門に担当させていることが分かりました。
サイバー脅威に対抗するために、従業員への効果的なITセキュリティ教育を実施することは重要な要素の一つとなっています。先の調査では、過去1年間に企業で最も多く発生したセキュリティインシデントの5件に4件は、従業員の行動に直接関係するものでした。
- 回答者の32%が、機密データの偶発的な漏えいについて報告をしています。
- 回答者の30%が、従業員が機密情報を保存した社用のモバイルデバイスを紛失したと報告しています。
- 19%の企業が、従業員による意図的なデータ漏えいを経験しています。
- 18%の企業が、モバイルデバイスの不適切な使用により(モバイルメールクライアント、SMSなどを経由して)、機密データが犯罪者の手に渡ってしまうという事件の対処をしたことがあります。
今回の調査結果に限らず、「機密情報の漏えいや IT セキュリティインシデントの大部分は従業員のミスが原因」ということが繰り返し示されています。この難題を解決するための鍵は、エンドユーザーに IT セキュリティリスクや、それを回避する最善策についての的確な知識を確実に与えることにあります。
これは、ITセキュリティに対する従業員教育の重要性を明らかに示していますが、教育はいったい誰が担当すべきなのか、という問いの答えにはなっていません。
同調査により、企業の多くが、従業員教育は IT 部門の主な職務ではないが、特にIT セキュリティに関しては組織内の IT 部門が教育を担当すべき、と考えていることが分かりました。一方、複数の回答者が、IT 部門は他にも重要な仕事を抱えていて社内教育をする余裕はないと指摘しています。このような状況下では質の高い教育は望めません。教育に必要な専門知識を持つサードパーティの IT コンサルタントに委託した方が良い結果を得られます。しかし、そうしていると答えたのはたったの 12% です。
調査に参加した企業のうち、人事部門が従業員教育に取り組んでいるのが8%、従業員教育部門に任せているのが8%となりました。回答者の約3%は、社外のトレーニング業者に委託していると答えています。これらの数字はどの地域でもほぼ同じですが、多少の違いも見られました。たとえば、社内のIT部門にITセキュリティ教育を任せている企業の割合が最も高いのは中東(73%)、日本(72%)および北米諸国(71%)です。また、従業員教育に社外のITコンサルタントを雇うことが最も多かったのは、南米(16%)とアジア太平洋地域の国々でした。
全体的に見て、ほとんどの企業がITセキュリティに関する従業員教育の重要性を認識しており、このような教育をまったくしていないと答えたのはたった4%でした。しかし企業教育の質には疑問が残ります。企業の IT セキュリティポリシーがどの程度遵守されるか、また、その結果として、企業がサイバーの脅威からどの程度保護されるかを直接左右するのは従業員の意識です。現在、ポリシーの施行規模は比較的小さく、調査に参加した企業の約 39% は、従業員が必ずしも会社の定めた IT セキュリティ規則を常に遵守しているわけではない、またはそれほど忠実に従ってはいないと答えています。
教育は重要だが、広範囲なセキュリティ戦略における1つの要因にすぎない
しかし一方、従業員がいかに慎重で十分なITセキュリティに関する知識を持っていたとても、企業に対するサイバー攻撃が成功してしまう危険性は依然として高まり続けています。広範囲なセキュリティ戦略を実施するには、Kaspersky Endpoint Security for Businessのような高度な企業のIT インフラ向けセキュリティソリューションの導入が必須となっています。
Kaspersky Lab の新しい企業向けソリューション、Kaspersky Endpoint Security for Business は、悪意のあるプログラムやネットワーク攻撃、標的型攻撃、スパム、フィッシングに対して信頼性の高い保護を提供するだけでなく、企業の IT インフラの効果的な管理を促進するさまざまな機能を搭載しています。Kaspersky Endpoint Security for Business は、企業が保有するワークステーションの管理、インストールされているソフトウェアのタイムリーな更新、IT インフラのさまざまなコンポーネントに対するアクセス権の管理と制限、セキュリティポリシーの設定と施行の監視、(たとえば、企業デバイスの紛失や盗難に備えた) 機密データの暗号化などを支援します。また、企業が高いレベルの IT セキュリティを享受するために必要なさまざまな操作の実行にも使用できます。
Kaspersky Endpoint Security for Business には、従業員のミスによるインシデントを防ぐためのもう 1 つのテクノロジー、ダイナミックホワイトリストが搭載されています。これはマルウェアの起動を妨ぐテクノロジーです。これは独自の信頼済みアプリケーションのデータベースに基づくソリューションで、OSに対しホワイトリストデータベースに載っているプログラムの実行だけを許可します。これにより、まだアンチウイルスソリューションにすら知られていない高度に複雑な悪意のあるプログラムを使っても、企業に攻撃を仕掛けることが非常に難しくなります。
2013 年 Q3 のスパムレポートの全文は、以下からご覧いただけます。
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセキュリティ市場におけるイノベーターとしてKaspersky Labは15年以上にわたり、大企業および中小企業から個人ユーザーまで幅広いお客様に効果的なデジタルセキュリティソリューションを提供しています。同社は現在、英国で登記された持ち株会社も含め、世界中のおよそ 200 の国と地域で営業活動を行っており、全世界で 3 億人を超えるユーザーを保護しています。
詳細については
http://www.kaspersky.co.jp/
をご覧ください。
