複雑化するサイバー攻撃の増加に伴い、防御を担うIT部門の役割はこれまで以上に困難になっています。 A10が実施した「アプリケーションインテリジェンスレポート (AIR)」の最新の調査結果によると、驚くほどサイバー攻撃は企業ネットワーク内に忍び寄っており、さらに、IT管理者は従業員のセキュリティに関する意識の欠如に危惧を抱いていることが判明しました。

本調査では、世界10カ国のさまざまな業界のIT管理者と従業員2,000人以上に対してアンケートを実施し、企業のサイバー攻撃の実態やIT管理者や従業員のセキュリティに対する意識、IT部門のセキュリティへの取り組みについて明らかにしています。

パ―ト２では従業員のセキュリティへの意識に焦点を当てます。

• アプリのセキュリティはだれが責任をとるのか？
• 社内許可されていないアプリやサイトを利用する従業員
• セキュリティポリシーの不十分な理解がまねく潜在脅威
• IT管理者のセキュリティ実践方法

アプリのセキュリティはだれが責任を負うのか？

スポーツの結果を確認したり、音楽を聞いたりしたい従業員が、セキュリティ的に不適切な設計の許可されていないアプリケーションを使用することで、攻撃者が企業ネットワークに侵入するためのバックドアを提供してしまう可能性があります。

2017年にはAndroid用のアプリに仕込まれた、デバイスをDDoS攻撃の踏み台とする「WireX」というボットネットが話題を集めました。IT管理者の半数以上 の55%（日本は41％）が、モバイルビジネスアプリの使用量が増えると予測しています。今後、アプリを使用するモバイルデバイスが大規模なDDoS攻撃に巻き込まれ、ビジネス全体を急停止させる恐れあります。

さて、従業員が社内で利用する、許可されていないアプリケーションを保護する責任は誰にあるのでしょうか。社内で許可されていないモバイルアプリを保護する責任が自分にあると回答した従業員は、41%（日本の39%）でした。

では従業員にとって、社内でアプリを保護する責任を持っているのは誰なのでしょうか？ 従業員は、アプリ開発者（20％）、サービスプロバイダー（17％）、自社のIT部門（16％）がセキュリティを提供する必要があると考えています（世界平均）。

図: 従業員に聞く許可されていないアプリを保護する責任

一方IT管理者に内部的な責任者を聞くと、従業員のIDと個人情報の保護に最も責任を持っているのはセキュリティチームであると3分の1（32%）が回答し、次いでCIOまたは事業部長（VP ・ヴァイスプレジデント) (17%)、IT部門全体 (15%) と答えています。日本のIT管理者においても、セキュリティチーム（31%）、次いでCIOまたは事業部長（20%）、IT部門全体 (13%)と、世界平均と同様の傾向です。

図: IT管理者に聞く許可されていないアプリを保護する責任

社内許可されていないアプリやサイトを利用する従業員

企業がアプリやウェブサイトを業務上でブロックすることは受け入れられています。従業員の87%（日本は89%）は、企業はアプリやサイトのブロックを行う権利があると思っています。また、従業員の85%（日本は対象国で最も低い61%）が、企業がブロックを行うことを受け入れています。従業員の61%（日本は55%）が、自社が実際に特定のアプリやサイトの利用をブロックしていると回答しています。

さらに、従業員の10%（日本は13%）は、社内で利用しているアプリが禁止されているかどうかを把握していません。これは、IT部門からの密なコミュニケーションの必要性を示しています。実際に、IT管理者の88%（日本は83%）は、従業員へのセキュリティの実践方法についてのより良い教育が必要であると回答しています。

セキュリティポリシーの不十分な理解がまねく潜在的脅威

従業員のセキュリティへの関心のなさの裏付けとして、63%の従業員（日本は70%）がDDoS攻撃が何であるかをよく知らず、73%（日本は74%）がボットネットについてよく知らず、57%（日本は72%）が二要素または多要素認証をよく知らないという結果が得られています。さらに日本の従業員の50%は、このすべてをよく知らないと回答しています（世界平均は32%）。

図: 従業員の脅威/セキュリティ技術への理解度

IT管理者の約半数の48%（日本は28%）が、自社の従業員がセキュリティのベストプラクティスを実践していないと回答したことは、さらに不安を煽ります。 攻撃の兆候を知らない従業員を、脅威から守ることは困難だからです。

従業員が正しいセキュリティを実践するには、セキュリティポリシーが必須となります。90%のIT管理者がセキュリティポリシーについて、定期的に従業員とコミュニケーションをとっていると答えていますが、日本のIT管理者においては73%と対象国で最も低い結果となっています。

自社のセキュリティポリシーへの理解が不十分だと、従業員は、潜在脅威を高めるようなアプリの利用を起こし得ます。とりわけ、従業員の30%（日本は20%）は業務で許可されないアプリを故意に使用したことがあります。

許可されていないアプリを使用している従業員のうち、約半数 の51%（日本は41%) は「みんな行っている」と答え、約3分の1 の36%（日本は41%) は、IT部門がアプリの使用に口を挟む権利はないと考えています。

そもそも許可されていないアプリを使用するのは何故でしょうか？従業員の約3分の1の 33%（日本の47%) は、仕事を完遂するために必要なアプリがIT部門から提供されていないためと主張しています。

IT管理者のセキュリティ実践方法

それではIT管理者が、セキュリティのベストプラクティスについて従業員に意識づけさせるにはどうしたらよいのでしょうか？IT管理者によると従業員へのパスワードポリシーの通知は、メールによる注意喚起が66%(日本は47%)で最も多く、次いで従業員への説明会が50%(日本は44%)、社内ミーティングが48%(日本は31%)、マネージャーからの連絡が44%(日本は33%) となりました。

IT管理者が考えるパスワードの最善のポリシーは、定期的にパスワードを更新することが76% (日本は71%) で、システムごとに異なるパスワードを使うことが59%(日本は53%)、二要素認証または多要素認証は53% (日本は38%) という結果となりました。

IT部門は企業をより良く保護するために何を必要としているのでしょうか？IT管理者の29%（日本は対象国で最も高い41%）が、自社のセキュリティ保護についてIT管理者が持つ最大の課題は、ポリシーの策定や実施に対する企業規模の取り組みがないことと答えています。

IT管理者の23% （日本は対象国で最も高い44%）は、今後1年で職場における従業員のセキュリティに対する振る舞いは改善されないと考えています。それでも、IT管理者の57%（日本は36％）は、自社の防御能力に関して楽観的に捉えています。

「アプリケーションインテリジェンスレポート (AIR)」について

A10 Networksは、個人や企業における、アプリケーションの相互作用と、高まるセキュリティの影響を分析するために「アプリケーションインテリジェンスレポート (AIR)」を実施しています。2017年に実施したAIRでは、スマホアプリの利用によりプライベートとビジネスの境目が曖昧となっている現代の"ブレンドライフ"における、アプリの利用動向とセキュリティの重要性について調査しました。

AIRはA10により、調査会社のProvoke Insightsによって独自に実施されています。本調査は、急速にテクノロジーを享受する市民を擁する経済大国である、ブラジル、中国、フランス、ドイツ、インド、日本、シンガポール、韓国、英国、米国の10カ国で実施されました。

詳細は、www.a10networks.com/AIR（英語）で入手できます。