4分の1の企業が自社セキュリティポリシーはBYODに全く未対応、ISACA第4回リスク意識調査(CA Security Reminder) | ScanNetSecurity
2024.04.19(金)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

4分の1の企業が自社セキュリティポリシーはBYODに全く未対応、ISACA第4回リスク意識調査(CA Security Reminder)

仕事でコンピュータ、タブレットPC、スマートフォンのいずれかを使っている米国消費者の圧倒的多数は、オンライン・プライバシが脅威にさらされていると感じています。しかし、多くの人がプライバシとセキュリティを危険にさらす行為や振る舞いを続けているのです。

特集 特集
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA TechnologiesのRobert Stroudが、IT専門家の国際団体が実施した調査結果をもとに、BYODに関するリスク意識の国別の違いと、そのコントロールを考える。

--脅威を感じたら、対策を講じますよね?

こう聞かれたら、ほとんどの人は「はい」と答えるでしょう。しかし、これがプライバシへの脅威となると、必ずしも「はい、脅威を軽減するために対策を講じます」という答えは返ってこないのです。

ある調査によれば、仕事でコンピュータ、タブレットPC、スマートフォンのいずれかを使っている米国消費者の90%は、自分のオンライン・プライバシが脅威にさらされていると感じています。それでも、多くの人がプライバシとセキュリティを危険にさらす行為や振る舞いを続けているのです。

これは、ISACAの第4回IT Risk/Reward Barometer調査から分かったことです。ISACAが毎年実施している本調査では、個人の端末を業務に持ち込むBYOD (bring your own device) やモバイル・セキュリティに関する最新の認識やビジネス上の対応、クラウド・コンピューティング、リスク管理についての調査が行われます。

今回の調査には、アフリカ、アジア、ヨーロッパ、ラテンアメリカ、北米、オセアニアから4,500人を越えるISACAメンバが参加しました。

BYODについては、オセアニアおよびアフリカの企業は、他地域より強い許容傾向を示しています。個人端末を自由に使わせていると回答したヨーロッパ企業は28%ですが、オセアニア企業ではその割合が50%近くにもなります。ただ、オーストラリアで生まれ育った私にとって、この結果は驚くにあたりません。オーストラリア人は、そもそも革新的なのですから。

調査対象となった各地域のIT担当者からは、BYODはメリットよりリスクの方が大きいという声があがっています。それでも、BYDOを採用する動きは続いています。そして、何より奇妙に思われるのは、4分の1あまりの企業が自社のセキュリティ・ポリシはBYODにまったく対応していないと回答している点です (ポリシを改訂する必要があると思います)。

すでに述べたとおり、仕事でコンピュータ、タブレットPC、スマートフォンのいずれかを使っている米国消費者の圧倒的多数は、オンライン・プライバシが脅威にさらされていると感じています。しかし、多くの人がプライバシとセキュリティを危険にさらす行為や振る舞いを続けているのです。危険 (データ漏えい、ウィルス、マルウェア) を認識してはいるのですが、モバイル・ワーキングや使い慣れた端末といったBYODのメリットには勝てないのです。それは私にも理解できます。

BYOD のリスクが特に問題となるのは、これから年末年始に向けた休暇シーズンです。今回の回答者は、仕事にも使う個人端末を使って平均12時間 (会社支給端末では13時間) オンライン・ショッピングをすると言っています。ショッピング回数が増えれば、共有される情報も増えてゆきます。共有情報が増えれば、問題の影響を受けやすくなります。

ISACAのアドバイザでありIP Architects LLC社長であるJohn Pironti 氏は、「オンラインで私的な情報を共有すれば、ソーシャル・エンジニアリング攻撃の犠牲になる可能性は高くなります。データ集約は、ハッカーや悪意のある人物による侵入に対するハードルを低くしてしまうのです」と言います。

残念なことに、リスクは増大しています。回答者の半数以上 (53%) が、この1年でオンラインでの情報共有リスクが高まったと感じています。私も同感です。この1年間に報告された事例を見れば、脅威の増大を認識せずにはいられません。

ISACAのIT Risk/Reward Barometer調査によれば…

•回答者の65%がオンライン・ショッピング・サイトのセキュリティ設定を確認しない。
•36%が仕事で使用する端末からソーシャルメディアのサイトにあるリンクをクリックしたことがある。
•19%が、個人的なオンライン・ショッピングや業務に無関係な目的のために、会社のメールアドレスを使ったことがある。
•12%が仕事で使用するパスワードを個人端末に保存している。
•11%がDropboxやGoogle Docsといったクラウド・サービスを会社に知らせずに使用している。

上記の項目すべてにリスクがつきまとうのですが、それでも会社支給や個人所有の端末でこうした行為を続ける人が非常に多いのが実情です。

(回答者の37%程度が、この休暇シーズンの就業時間中に、勤務日にして2日相当の時間をかけてオンライン・ショッピングをすると答えていますが、もちろん私はそんなことはしません。とは言え、私も1つの端末を仕事と個人的目的の両方に使うことはあります。)

私達の生活において多々見られるように、信条と実際の行動は必ずしも一致しません。それが人間というものです。オンラインのプライバシやセキュリティがかなり心配されているにも関わらず、私達の多くはオンラインのメリットや利便性を手放したくないのです。こうした行為が会社のIT部門からハイリスクだとされても、それは変わりません。

では、どうすれば良いのでしょうか?教育やセキュリティ意識向上のためのトレーニングで改善してゆくことは可能です。そして当然ながら、新しいやり方やテクノロジの採用を怖がってはいけません。BYOD はなくなりませんし、私達がBYODに慣れるに従ってそのメリットは拡大してゆくでしょう。(インターネットにはリスクがありますが、それでもこれだけ利用されています。)

私は、ISACAの「採用と教育」というアプローチに賛成です。利用可能なテクノロジを採用し、その価値を享受すべきだと思います。しかし、私達自身、お客様、同僚、社員を対象としたリスク教育を実施し、会社のポリシについて認識と準拠を徹底することを怠ってはなりません。

あと数週間で新年を迎えますが、脅威への対策は「新年の抱負」として年明けを待つことなく、すぐに取り組みを開始すべきだと思います。

* 2012 ISACA IT Risk/Reward Barometer調査の全結果をこちらからダウンロードし、 皆さんの認識や会社のポリシと比較してみてください。
(Robert Stroud)

筆者略歴:CA Technologiesバイス・プレジデント。サービス・マネジメント、クラウド・コンピューティングおよびガバナンスのエバンジェリストを務める。現在ISACA国際本部副会長。
《ScanNetSecurity》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理 画像

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理
Windows DNS の脆弱性情報が公開 画像

Windows DNS の脆弱性情報が公開
バッファロー製無線 LAN ルータに複数の脆弱性 画像

バッファロー製無線 LAN ルータに複数の脆弱性
Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性 画像

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性
OpenSSLにサービス運用妨害(DoS)の脆弱性 画像

OpenSSLにサービス運用妨害(DoS)の脆弱性
マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件 画像

マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

インシデント・事故 記事一覧へ

インフォマート 公式 Facebook ページに不正ログイン 画像

インフォマート 公式 Facebook ページに不正ログイン
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず 画像

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し 画像

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性 画像

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に 画像

チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に
委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く 画像

委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査
プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査
初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応 画像

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応
復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査 画像

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート 画像

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置
脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応 画像

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応
ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供 画像

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×