従業員による情報セキュリティポリシー違反防止が課題か──Kaspersky調査

　Kasperskyは、サイバー脅威への企業の対応について、主としてヒューマンファクター（人的要因）の観点から分析する「2023年ヒューマンファクター調査」を実施した。

　同調査は世界19ヵ国の企業におけるIT部門で働くエンジニアやセキュリティ担当者でマネージャー職以上の1,260人（日本は90人）を対象に実施。従業員が企業のサイバーセキュリティに与える影響について質問したほか、企業のサイバーセキュリティに影響を与える様々なグループの情報を収集するために、コントラクターなど従業員以外の社外関係者についても質問したという。

従業員による情報セキュリティポリシー違反が、企業にとって最大の問題の一つに

　従業員によるミス以外に情報セキュリティポリシー違反が企業にとって大きな問題の一つであることが明らかになったとのこと。過去2年間に自社でサイバーインシデントが発生したと回答した人のうち26％（日本は38％）が、原因の一つとして従業員が意識的にセキュリティポリシーに違反したためと回答した。これはマルウェアに起因するセキュリティ侵害の30％（日本は47％）と大差ない結果だった。

　情報セキュリティポリシーを破る意識的な行動は、IT部門の従業員とIT部門以外の従業員の両方によって行われており、その割合はITセキュリティ担当者によるポリシー違反が11％（日本は15％）、ITセキュリティ以外のIT担当者の違反が12％（日本は19％）、IT担当ではない従業員の違反が8％（日本は13％）となっている。

　従業員やコントラクター個人の行動からみると、最も一般的な問題は、情報セキュリティポリシーの禁止事項に意識的に反したり、逆に行わなければならないことを実行しなかったりすることだという。調査では、過去2年間のサイバーインシデントについて、脆弱なパスワードを使用したことや適切なタイミングでパスワードを変更しなかったことが原因であるとする回答が25％（日本は35％）に上った。

　もう一つの目を引く原因は、セキュアではないWebサイトへのアクセスで24％（日本は27％）を占めた。他にも、システムソフトウェアやアプリケーションを必要なときにアップデートしなかったことが21％（日本は20％）となった。

未許可のサービスやデバイスの使用が意識的な情報セキュリティポリシー違反を引き起こす

　どのような行動がサイバーインシデントを引き起こしたかについて、回答者の24％（日本は27％）が、従業員やコントラクターがデータ共有に未許可のシステムを使用したことが原因と回答。また、21％（日本は24％）は未許可のデバイスから社内データにアクセスしたことが原因とし、20％（日本は33％）が個人メールアドレスなどにデータを送信していたことと回答している。使用が許可されていないデバイスが業務に使用されるシャドーITのケースもあり、11％（日本は15％）がサイバーインシデントにつながったと回答しているという。

　これらの無責任な行動のほかに、悪意のある行動の20％（日本は18％）が、従業員やコントラクター個人ほか、誰かの利益のために行われていたという回答は憂慮すべきことだとしている。

【関連記事】
・Kaspersky、iOSデバイスを標的にしたAPT攻撃活動について新たな調査結果を発表
・Kaspersky、消費者が2024年に直面する可能性のある脅威を予測
・Kaspersky、2024年のAPT攻撃予測など発表──日本では金銭的動機による攻撃が増加か