SecureAge Technology(以下、セキュアエイジ)は、日本、米国、英国の3ヵ国の企業がそれぞれコロナ禍で行っているサイバーセキュリティ対策について比較した「2021年セキュアエイジ コロナ禍のサイバーセキュリティに関する調査 – 日米英3カ国比較」の結果を発表した。
本調査によると日本企業の4分の3近く(73%)が、パンデミック時のテレワークを支援するために、新たなセキュリティ対策を導入している一方で、米国(83%)や英国(86%)の企業と比較すると10ポイント以上低いことが明らかになったという。
経営者への質問:御社はテレワークに対応するため、新たなセキュリティ対策を採用しましたか。
日本企業が導入した新たなセキュリティ対策としては、データの暗号化(46%)に重点的に取り組んでおり、米国(35%)や英国(39%)と比較しても、優先的に取り組んでいることを示している。その他の対策としては、二要素認証の必須化(370%)、VPNの構築(35%)、テレワークを行う従業員にウイルス対策ソフトの提供/インターネットセキュリティソフトの提供(38%)などが挙げられているが、日本の企業はこれら3つの項目で米国や英国を大きく下回る評価だとしている。
また、COVID-19パンデミック下にサイバー侵害を経験したことを認めた企業は、日本32%、米国39%、英国40%で、サイバーセキュリティインシデントを経験したかどうか「わからない」と回答したのは各国とも約8%だったという。
経営者への質問:「御社はテレワークに対応するため、新たなセキュリティ対策を採用しましたか。」の質問で「はい」の場合、どのような対策を採用しましたか(当てはまるものを全て選択してください)。
サイバーセキュリティ対策を導入する際の課題
新しいサイバーセキュリティ対策を導入したと答えた回答者のうち、日本(38%)、米国(41%)、英国(38%)の企業は、COVID-19に基づく新たなサイバーセキュリティのプロトコルや戦略を導入する上で、「実装に関する技術的な問題」が第一のハードルになっていると回答。二番目の理由には、日本(28%)では「予算の不足」、米国(25%)と英国(25%)では「従業員が乗り気でなかったこと」が挙げられている。
経営者への質問:社内で新たなサイバーセキュリティ対策を実装する際、最大の課題はどのようなものでしたか。
この調査結果についてサイバーディフェンス研究所 専務理事/上級分析官の名和利男氏は「米国や英国の企業に比べると、日本企業は『経営幹部が対策に疑念を抱いていたこと」が、新たなサイバーセキュリティ対策を実装する際における最大の課題であった」と述べ、「日本企業の経営幹部はサイバーセキュリティの責任があることを自覚し、自らの能力を向上させるための努力に着手する必要があります」とコメントしている。
サイバー攻撃を回避する方法
企業がサイバー攻撃を回避するためにどのような方法が最も効果的かを尋ねたところ、日本の企業は「パスワード保護の強化」と「従業員を対象として、サイバー攻撃を回避/サイバー攻撃に対処するためのベストプラクティスを紹介するトレーニングを実施すること」が上位に挙がったという。一方、英国と米国では「パスワード保護の強化」には賛成だが、米国は「従業員を対象として、サイバー攻撃を回避/サイバー攻撃に対処するためのベストプラクティスを紹介するトレーニングを実施すること」をトップに挙げ(24.0%)、英国の経営者は、「サイバーセキュリティ技術により多く投資すること」がサイバー攻撃に最も効果的であると回答している。
経営者への質問:経営者がサイバー攻撃を回避するための最も効果的な方法はどのようなものだと考えますか。
名和氏は「この結果は、日本企業に残存している『横並び意識』と『同調圧力』に起因すると見られる、単一的なトレンドに集中した対策強化が見られている状況と符合する興味深いものです」と述べ、「日本企業は、『ベンダー丸投げ体質』が依然として健在です。それを支えるベンダーは、『売れるIT商材』を常に追求しており、一つのIT商材が売れると見込むと一気に攻勢を強めます。そして、他のベンダーも同調する形で、同じようなIT商材を売り始めます。家電量販店で同じ時期に異なるメーカーが同様な家電を売り始めるような現象と似ています…日本企業は、この影響を受けていると見るのが自然です」と述べている。
サイバーセキュリティソリューションへの投資
サイバーセキュリティソリューションへの投資には積極的で、「2022年にサイバーセキュリティ関連予算を増やす」と回答した企業は日米英とも半数を超えたという。日本企業では「クラウドソリューション」(58%)、「ファイル暗号化」(49%)、「ハードディスク暗号化」(40%)に重点が置かれているが、どこに投資すべきか「わからない」が11.1%、「投資しない」が0%となっている。
また、英国と米国では、「ファイル暗号化」や「ハードディスク暗号化」よりも「クラウドソリューション」を最も重視しており、それぞれ8%と12%が「わからない」と回答しているという。
経営者への質問:職場勤務の再開に伴い、多くの企業が、サイバー攻撃から保護するため、最新テクノロジーの実装に投資しています(エンドポイント機器、暗号化ソフトなど)。御社は新しいサイバーセキュリティ対策に投資する予定がありますか(当てはまるものを全て選択してください)
トレーニングや準備の充実度
サイバー攻撃を回避するための最も効果的な方法として日本の企業では、「パスワード保護の強化」を最も重視している中、41%がパスワードを保護するためのベストプラクティスに特化した公式トレーニングを実施したと回答。一方、「テレワーク時に機密情報を保護するためのポリシー」については、英国(40%)、米国(49%)に比べ、日本は52%と最も高い数値を示したという。
全体的に見ると、日本企業は、「不審な電子メールを検出し、対処するためのポリシー」(44%)、「外部の電子機器(モバイル及びタブレット)を業務利用する際のポリシー」(37%)、「個人所有デバイスを社内ネットワークに接続する際のポリシー」(41%)などの分野で、テレワークのためのセキュリティトレーニングをより多く提供することなどで、対応の充実が図れたと考えらるとしている。
結論:適切なツールとアジャイルな対処方法
適切なトレーニングを受けるだけで将来のデータ漏洩を防ぐことができるのか、あるいは、リアルタイムで発生している攻撃に先んじて迅速に対応するための正しい対処方法は、果たして存在するのかが問題。最新のサイバー攻撃がどのような手法で行われようとも、時代とともに進化し続けるという。同社は、サイバーセキュリティの脆弱性を最小限に抑えるためには、すべてのデータを根源で保護するという戦略を持つことこそが、組織にとって最大の防御になるとしている。
SecureAge Technology グローバル最高執行責任者(COO)兼セキュアエイジ 代表取締役社長 ジェリー・レイ氏のコメント
今回の調査結果は、世界中の企業にとってリモートワークへの移行の困難性を示しており、コロナ禍前に企業が展開していたサイバーセキュリティ戦略がいかに限定的であったかを示しています。効果的なサイバーセキュリティの防御を構築するには、先を見越した強固な戦略が必要であり、それによって企業は、今後起こりうるいかなる脅威に対しても安心して対応することができます。これには、困難な技術的課題に対処するための従業員の十分なトレーニングや、企業のオンボーディングプロセスの簡素化が含まれます。また、敏捷性と洗練された技術を基礎とした最新サイバーセキュリティシステムとして、実績のあるツールを採用し、すべての機密データを暗号化することにより新たな脅威に素早く対応し、無力化することができるのです。
サイバーディフェンス研究所 専務理事/上級分析官 名和利男氏のコメント
「リモートワーク環境の効果的な保護に苦戦し、対応策を確立できていない企業も多く存在」している事に対する状況認識と問題意識に基づくものとなっています。新型コロナウイルス感染症(COVID-19)によるパンデミックにおいて、多くの企業が「内部に閉じた問題」として認識されているのにも関わらず、依拠可能なベストプラクティスや事例などが不足している状況が見られます。本調査は、この改善の検討や対策に大きく貢献するものです。
【関連記事】
・日本企業の3分の1がコロナ禍でセキュリティインシデントを経験――セキュアエイジ調査
・デジタル・インフォメーション・テクノロジー、シンガポールのセキュリティ企業セキュアエイジと協業
・日本海事協会、パナマ政府のサイバーセキュリティを支援 インシデント情報の分析担う