Comments
Description
Transcript
データで読み解く「社員のパスワード利用実態」と 「企業の情報
調査① セキュリティラボ白書 データで読み解く 「社員のパスワード利用実態」と 「企業の情報セキュリティ対策の実態」 手口を変えて巧妙化するサイバーアタック。内部不正者による情報漏えい。 企業が保有する機密情報を狙った内外からの攻撃が跡を絶ちません。注目すべきは、パスワードを使った認証システム の隙を突く攻撃が頻発している点です。 ここでは、業務でPCを日々使用している情報システム担当者と現場社員に対して富士通が行った「セキュリティ対策 意識と実態にかかわる調査」より、パスワードの利用の実態と認証セキュリティの危険な関係にスポットをあててご紹 介します。 INDEX 1 9割以上の社員が、パスワードを 使い回し している! 2 パスワードの使用で業務効率が低下? 使い回し する社員のホンネ。 3 横行する私有PCの利用。不十分な持ち出し用端末のセキュリティ。 4 必要性を認識する割には対策の遅れが目立つ、認証システムのセキュリティ強化。 5 コストと経営陣の理解の乏しさが、情報セキュリティ対策を遅らせている! ページ内にて記載のデータは下記の調査に基づいております。 ・セキュリティ対策意識と実態に関わる調査(2015年1月 富士通調べ:インターネット調査) 対象:国内の従業員規模500人以上の企業で勤務する社員258名、及び国内の従業員規模100人以上の企業・団体で勤務する情シス・ 経営層516名 1 本来、 厳格に使い分けしなければならないパスワードの運用。 ところが9割以上の社員がパスワードを 使い回し しています。 データ1は、「ビジネスパーソンに日常業務において、 IDやパスワードでログインして利用するシステムの数」 〈データ1〉 IDやパスワードを使用する業務システム数 をデータしたものです。 それによると、パスワードでログインする業務システム 無し 1個 2∼3個 4∼6個 7∼9個 10個以上 が複数ある企業は94%。なかでも、ログインする業務 システム数が4つ以上という企業が50%を超えていて、 10を超えるという回答も全体の約1割に達しています。 4.7% 41.1% 36.4% 7% 9% 次に、「業務システムやプライベートで利用するサイト で、パスワードを使い分けている人の割合」を見てみる と(データ2)、すべて異なるパスワードで使い分けて いる人は、わずか6.6%。 大半(92.6%)の人が、なんらかの形でパスワードを 使い回し しています。 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 調査① セキュリティラボ白書 データで読み解く 「社員のパスワード利用実態」と 「企業の情報セキュリティ対策の実態」 その理由としてデータ3に示すように、覚えきれない や、入力する手間が煩わしいなどが挙げられていて、8 〈データ2〉 パスワードの使い回し実態 桁以上で1つ以上の英文字や数字、特殊文字の使用を義 務付ける等パスワード運用の厳格化がパスワードの使い 回しの要因になっていることがわかります。 〈データ3〉 パスワードを使い回す理由 パスワードを 覚えきれないため 92% 手間が煩わしいため 85% 入力ミスによる ストレスを避けるため 悪用されても、それほど 支障が出ないから 成りすましやハッキングは、 自分には起こり得ない 0% 2 20% 40% 60% 80% 100% パスワードを 使い回し すべきでないと分かっていても、 効率の悪さやログイン時のストレスが、使い回し を野放しにしています。 パスワードの 使い回し に対して社員がどのように感じているかを示したのがデータ4です。業務システムでは 可能な限りIDやパスワードを 使い回し すべきでないと考えている社員の割合は85%にものぼっています。 〈データ4〉 仕事で利用する業務システムで IDやパスワードを使い回すべきではない。 〈データ5〉 ID、パスワードへの意識 複数の異なる ID とパスワードを記憶して 使い分けるのは難しい 87.5% 複数の異なるIDとパスワードを設定し、 使用することに、 ストレスを感じる 82.8% 業務システムごとに、複数の異なるIDと パスワードを設定すると、 業務効率に 支障が出ると思う 61.7% すべきではない 84.7% 0% 20% 40% 60% 80% 100% しかしながらデータ5で示すように複数のIDやパスワードを記憶することは難しいと考えている社員の割合は9割近く に達しています。また、キチンと使い分けすることにストレスを感じている社員が8割を超えているほか、業務システム ごとに使い分けることで業務効率が低下すると回答した割合も6割にものぼっています。 使い回し すべきでないと思っ ているものの、現実には 使い回し を止められない社員のジレンマが浮き彫りになっています。 調査① セキュリティラボ白書 データで読み解く 「社員のパスワード利用実態」と 「企業の情報セキュリティ対策の実態」 3 私有のPCを業務に使用した経験をもつ社員は約半数。 一方、 大半の企業が十分なセキュリティ対策を行っていません。 データ6に示されているのは、会社で使用許可を得てい 〈データ6〉 ない私有のPCを業務で使用した経験のある社員の割合 私有のPCの業務使用経験(会社の許可無し) です。半数の社員に使用経験があり、3割もの社員が現在 も使用中と回答しています。 過去に 使用経験あり データ7に挙げられたその理由を見てみると、外出先で 緊急事態だったからという回答に続き、私有のPCでも 19% 使用無し・ 許可を得ている セキュリティ対策をしているから、機密にかかわる内容 の業務をしているとは思っていないから、などの理由が 現在も使用している 挙げられています。会社が管理していない情報端末を仕 32% 事で勝手に使う「シャドーIT」に潜むリスクを、社員の多 49% くが十分に認識していないことがわかります。 〈データ7〉 私有PCを無許可で業務使用した理由 27% 外出先での緊急事態だったため 23% 私有の PC やタブレットであってもセキュリティ対策はしてあるため 20% 機密的な内容の業務をしているとは思わないため 16% 会社で情報機器の貸与がされないため 15% 会社貸与の情報機器が全て貸出中だったため 13% 会社で私物の情報機器の使用が認められているため 会社貸与の情報機器の貸出手続きが面倒なため 11% 会社貸与の情報機器はセキュリティ重視で使い勝手が悪いため 11% 0% 10% 20% では、会社側が管理している持ち出し用端末の場合はど 〈データ8〉 外出先で業務用PCを紛失した際のセキュリティ対策 うでしょう。データ7は、社員が外出先へ持ち出した業務 用PCを紛失した際、格納された情報を守るための対策に わからない ついて質問した結果です。驚いたことに十分な対策を とっていると回答したのはたった8%。 盗難や紛失をはじめ、情報端末の利用に対するセキュリ ティ意識が、企業側にも不十分であることが見てとれま す。 十分な対策をとっている 1% 特に、対策を とっていない 8% 24% 十分ではないが、対策をとっている 67% 30% 調査① セキュリティラボ白書 データで読み解く 「社員のパスワード利用実態」と 「企業の情報セキュリティ対策の実態」 4 自社のセキュリティ対策を行っている企業は半数に満たない現状。 しかし、情報システム担当者の8割が認証システムのセキュリティ強化の必要性を認識。 情報システム担当者に自社のセキュリティ対策について質問した結果がデータ9です。 十分な対策を行っていると回答したのはわずか3%。改善の余地がある、不十分だと考えている情報システム 担当者の割合は半数近くにのぼっています。とりわけ社員の業務用PCの認証システムのセキュリティ強化に ついては、8割の情報システム担当者が重要性を認識しているのが特徴的です。(データ10) 〈データ9〉 自社のセキュリティ対策に関して 不十分で、 早急に改善すべき 〈データ10〉 社員のPC端末・認証システムの セキュリティ強化の必要性 十分な対策をとっている 1% 重要ではない あまり重要ではない 4% 3% 3% どちらとも 言えない 15% 十分ではなく 改善の余地がある 44% 30% それなりには 対策している 48% 重要だと思う まあ重要 52% データ11は、そうした認識が急速に広がっていることを如実に示しています。実際に4割を超える企業で、情報セキュ リティ対策として認証システムを強化した業務用PCの整備を実施しています。見方を変えれば、認証システムのセ キュリティ強化の重要性を認識していながら、半数近くの企業が手をつけられていないのが実情といえるでしょう。 〈データ11〉 認証システムを強化した端末の整備状況 かなり注力して十分な対策をしている 必要だとは思うが実施していない 33% 10% 0% 10% 20% 30% 一通り対策を実施 不十分という認識 対策の必要がなく実施していない 20% 40% 50% 27% 60% 70% 80% 分からない 9% 1% 90% 100% 調査① セキュリティラボ白書 データで読み解く 「社員のパスワード利用実態」と 「企業の情報セキュリティ対策の実態」 5 情報セキュリティ対策を不十分と感じながら、 報告しない情報システム担当者。 コストと経営陣の理解の乏しさが、 その理由です。 データ12は、情報システム担当者に対し、情報セキュリ 〈データ12〉 不十分な「セキュリティ対策」に 関する報告&改善提案状況 ティ対策について経営層や上司への報告の有無を質問した 結果です。 自社の情報セキュリティ対策に関して、不十分(改善余地 あり・早急な改善策が必要)と感じていながら、報告をし 報告をした ことがない 25% ない情報システム担当者の割合は4人に1人。報告しつつも 報告をしたことが あり、 改善策も 提案したことがある 改善策を提案しない、と回答した割合まで含めると6割に 40% 情報セキュリティ対策の改善や強化が必要と分かっていな 報告あり&改善策の 提案はなし のぼっています。 がら、打ち手を講ずることが出来ていない実態が窺えま す。 35% その理由としては、データ13に見られるようにコスト事情と経営者の理解不足が挙げられています。 そんな情報システム担当者が、業務システムのログイン時などの認証セキュリティ強化に、どんな手段が最も有効と考 えているかを示したのがデータ14です。最も評価が高いのが生体認証センサー搭載のPC端末の導入。社員教育の徹底 やパスワード運用ルールの厳格化などを大きく引き離し、4割近い情報システム担当者が最も有効と考えています。 〈データ13〉 セキュリティ不十分(改善の必要あり)であることを報告しない理由(自由回答抜粋) ●報告しても理解されないと思う。また、対策にはコストもかかるので。 ●新規に予算が必要なものはなかなか許可がおりない。それに、現行システムの刷新など、優先順位の高い他の 案件が山積しているから。 ●対策には費用が必要なため、たとえ効果的だとわかっていても良い提案や報告ができない。 ●そもそも情報システム部門に対する、経営陣の理解が乏しい。 ●報告や提案をしても経営陣には理解できないため、とりあってくれないと思う。 ●上司が情報セキュリティ対策への知識に乏しく、報告しても改善が期待できない。 ●脅威について十分に説明できる自信がない。 調査① セキュリティラボ白書 データで読み解く 「社員のパスワード利用実態」と 「企業の情報セキュリティ対策の実態」 〈データ14〉 PC端末の認証セキュリティを強化する 最も有効な手段 37.2% 生体認証センサー搭載のPC端末導入 26.7% セキュリティに関する社員教育の徹底 18.2% パスワードの運用ルール厳格化 12.0% ICカードによる認証システムの導入 情報システム部門の人員増強 5.8% 0% 5% 10% 15% 20% 25% 30% 35% 40% 以上、調査データを元に述べてきたように、現場ではセキュリティリスクが散見され、情報システム担当者において は、「現状のセキュリティ対策では不十分」という認識がある一方で、コストや経営陣のセキュリティリスクへの理解 の乏しさから、対策を踏みとどまっている企業が多く見られます。 しかしながら、ほとんどの企業で採用されているパスワード認証については、ストレスや業務効率低下の観点から、パ スワードを使い回している社員の割合が多くを占めており、リスト型アカウントハッキングの標的となる危険性を大い に孕んでいます。 その他の調査データや、リスト型アカウントハッキング、生体認証ソリューションについては、以下の参考記事をご覧 ください。 ■その他の調査データ記事 㱺知ってるつもり!?企業システムのパスワード運用実態 㱺PCセキュリティ対策の 危険 な現状 ■リスト型アカウントハッキングに関する記事 㱺 パスワード認証 が現代の企業システムの大きなリスクに 㱺限界!社員のパスワードで会社がリスト攻撃の標的に ■生体認証ソリューションに関する記事 㱺生体認証導入をお考えの方へ 富士通の生体認証ソリューション 㱺 Mr.手のひら静脈認証 若林氏が語る導入のメリット 㱺製品レビュー!生体認証はID・パスワードに代わる手段となるか? セキュリティは富士通 ∼ FUJITSU Security Initiative ∼ 富士通は、お客様・社会のイノベーションの実現に向けて、ICT の安心安全を支えるための製品・サービスを 「 FUJITSU Security Initiative 」として体 系 化しました。当 社 のセキュリティ製 品・サ ービスをはじめ、 世 界 中から最 先 端 のソリューションを集め、お客 様に最 適な組 み 合わせで運 用を統 合 的に提 供します。 生体認証ソリューションの詳細はこちら!導入事例や調査データなども多数公開中 富士通 セキュリティラボ http://www.fmworld.net/biz/security_lab/ 富士通株式会社 富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い 合わせください。電話でもご注文・ご相談を承りますので、 下記窓口までご連絡ください。 0120-996-186 ( 受付時間 9 時∼ 19 時) [富士通購入相談窓口]