同じ調査からはセキュリティに対するリスク認識のレベルと実害発生の関係性もみえてくる。
セキュリティを経営リスクとして「十分認識している」とした組織の実害発生率は46.2%、「ある程度認識している」とした組織では55.5%、「十分認識していない」では61.8%になり、リスクとして認識していない組織ほど実害を経験した割合が高い。
染谷氏によれば、回答組織のコメントでは「当社に盗まれるような情報はない」「有名企業ではないので狙われない」といったものがみられた。しかし染谷氏は、「標的型攻撃で狙われるのは大企業や機密性の高い情報を扱う特殊な企業だけというのは、間違った認識です」と指摘する。
前述したように、攻撃者は「カネになる情報」を盗むために手段を選ばない。もし攻撃の手段がないなら、まずは手段を確保する。「カネになる情報」を持つ企業へ簡単に近付けないなら、その企業と何らかの関係を持つ周辺企業からまず攻略して、侵入ルートを確保する。「自分たちのところに情報はない」というのは、勝手な思い込みとも言えそうだ。
調査では組織にどんなリスクを認識しているのかも尋ねている。組織がリスクと感じる上位10項目は次の通り(割合は「感じる」「やや感じる」の合計)。
順位 | 項目 | 割合 |
---|---|---|
1 | 投資の効果が見えにくい | 62.5% |
2 | 社員のリテラシー、意識が低い | 57.8% |
3 | 対策に必要な人材が足りない | 53.7% |
4 | 投資の必要性を上層部に説得するための材料に欠けている | 53.3% |
5 | 予算がない、足りない | 51.4% |
6 | 対策を行う人材のスキルが足りない | 47.8% |
7 | 社員がUSBなどの端末を社内に持ち込んでいる | 46.6% |
8 | 部下から必要な対策の提案が足りない | 41.0% |
9 | 社員がルールやガイドラインを守らない | 40.5% |
10 | 自組織が攻撃されていることに気付きにくい | 40.4% |
「対策に必要な人材やスキルが足りない」と答えた組織は、セキュリティ対策へ前向きに取り組みながらも、対策を手掛ける人的リソースに課題を抱えていると読み取れる。「投資の効果が見えにくい」との回答は、対策に取り組みながらも手応えを得にくいといったものだろう。標的型攻撃のような脅威への対策では特に難しい点かもしれない。
しかしそれら以外の回答は、「セキュリティ対策をする気があるの?」と疑問を感じるものばかりだ。
Copyright © ITmedia, Inc. All Rights Reserved.