Skip to content

セキュリティマガジン TREND PARK

サイバー攻撃への対策、
上層部と現場社員の認識のかい離が明らかに

企業のセキュリティ対策に関する調査結果レポート


規模が小さい方がスコアの高い設問もありました。「クライアントPCやサーバにインストールされているアプリケーションの修正プログラムは公開後すぐに適用している、あるいは代替としてセキュリティ製品のIPS機能を利用している」という質問です。大企業は複雑なネットワークを抱え、多様なビジネスアプリケーションを稼働させていることから、修正プログラムを適用する前に綿密なテストを繰り返す必要があります。それが反映された結果と言えそうですが、持続的標的型攻撃では、ターゲットを事前に綿密に調べ上げ、脆弱性を突破口に侵入を狙う手法がとられることから、サーバ上の脆弱性の有無を見極め、セキュリティホールがあれば迅速に修正できる対策を併用することが求められます。

現場社員に低い認識。トップダウンでセキュリティ対策の徹底を

今回の調査で最も注目すべき点の一つは、役職別の傾向値です。役職別の総合点は「本部長・部長クラス」が3.4ポイントだったのに対し、「一般社員」は2.7ポイント。上層部と現場で大きな意識差が見られました。



図3:役職別の総合点
回答から分析した防御力、対処力、組織力、専門力、把握力の平均



優先的な実施が望まれる15の対策を抜き出してみていくと、役員は、80%超が3つ。クライアントPCの対策への意識が高いことがわかります。自身が扱っている情報の重要性や、流出を防止するための管理が浸透していることが伺えます。本部長・部長クラスは平均的に高いスコアを獲得し、セキュリティ全般への意識が高い傾向にあることがわかります。一方、課長・係長・主任クラス、一般社員と職位が下がるにつれ、スコアは下がっていきます。



図4:役職別の対策状況
設問から一部を抜粋。「はい」を選択した割合。
>画像をクリックして拡大



この結果を見ると、組織内に対策を浸透させるための有効な施策が見えてきます。

情報資産の窃取など明確な目的をもって行われる標的型攻撃に対しては、役員は自分の利用する端末や情報への対策を徹底させるだけでなく、企業戦略の観点で情報資産の保護を考える必要があります。例えば、役員がセキュリティポリシーの規定や遵守により深く関与し、現場の末端まで浸透させる施策を徹底することで、組織全体のセキュリティレベルや意識をさらに高めることができるでしょう。

標的型攻撃では、実在の人物や組織を騙り、業務上有用な内容に見せかけた電子メールを使い、添付ファイルなどから不正プログラムを侵入させる手法が多く使われることが分かっています。機密情報に接触できない一般社員のパソコンが侵入の入口として攻撃対象になる可能性もあるため、一般社員、更に外注業者など取引先への教育も不可欠であり、そうした機会を作って現場レベルでも高い意識を持てるようなプロセスが必要になってくるでしょう。


トレンドマイクロは、企業のセキュリティ対策レベルを把握し、抱える課題を明らかにする診断ツールを公開しています。今回集計結果を公開した「サイバー攻撃」に加え、「クラウドセキュリティ」の診断を実施中です。今後、「モバイルセキュリティ」、「データセキュリティ」の診断ツールも順次公開予定です。

※1 企業のセキュリティ対策を無料診断するツール。セキュリティ対策の現状を多角的に分析するほか、同業他社との対策レベルの比較、そして現在のセキュリティレベルをより一層高めるための施策を提案します。
※2 調査概要は以下。
・調査名 セキュリティアセスメントツール「サイバー攻撃」調査
・調査期間 2012年1月20日~3月11日
・対象地域 日本
・回答者数 のべ720名
・回答者 「サイバー攻撃」についてのセキュリティアセスメントツールをご利用頂いた方 

記事公開日 : 2012.03.23

ページの先頭へ