「うちの会社は標的型攻撃で狙われる」 従業員で増加、IT管理者は低下

標的型攻撃に対する意識が従業員側で高まる一方、対策を講じる立場の情報システム管理者側では低下した。

[ITmedia]

　デジタルアーツは1月18日、標的型攻撃に関する企業の意識調査の結果を発表した。2015年10月に実施した前回調査に比べて、従業員側の意識が高まったものの、情報システム管理者側は低下していた。

　従業員側の意識では、まず標的型攻撃の手法に対するイメージで「分からない」「一部が狙われる」との回答が約4ポイント低下し、「ウイルス感染で会社のPCが遠隔操作される」「不審なメールが送られてくる」などの手口に関する多くの項目で理解度が上昇した。

　また標的型攻撃の対象になり得るかとの設問では、「ない」の回答が約11ポイント低下し、「なる」は4.7ポイント、「分からない」は6.7ポイントそれぞれ上昇した。社内のセキュリティ対策の変化についても、6割以上が「厳しくなった」とし、「変わらない」「緩くなった」は減少した。

標的型攻撃の手法に対する従業員の意識（出典：デジタルアーツ）

　一方で情報システム管理者側は、標的型攻撃に遭遇する可能性について、「あると思う」が3.1ポイント減少し、「ないと思う」は6.4ポイント増加した。想定する致命的な被害では、「情報漏えい」や「サーバのダウン」「Webサイトの改ざん」を挙げた回答者が押し並べて減少し、「メールを送れなくなる」「答えられない」が増えている。社内のセキュリティ意識ついは、「さらに高めたい」が4.3ポイント減り、「現状維持で良い」は4.9ポイント増加した。

情報システム管理者が実施している教育や情報発信の方法（出典：デジタルアーツ）

　実施中の標的型攻撃対策では、ウイルス対策やファイアウォールの割合が低下し、メールフィルタリングや従業員への教育・啓発、セキュリティルールの策定が3ポイント以上増加した。今後実施したい対策ではファイアウォール、ファイル暗号化、メールフィルタリング、バックアップが3ポイント以上増えた一方、ウイルス対策やプロキシ、専用製品の割合が減少している。

標的型攻撃の対象になり得るかとの従業員の意識（出典：デジタルアーツ）

標的型攻撃の対象になり得るかとの情報システム管理者の意識（出典：デジタルアーツ）

セキュリティ対策の変化に関する従業員の意識（出典：デジタルアーツ）

情報システム管理者のセキュリティ対策の意向（出典：デジタルアーツ）

　調査結果について同社は、総じて標的型攻撃に対する意識が上昇傾向を見せたものの、従業員と情報システム管理者との間にまだ開きがあり、危機意識が高いとは言い切れないと分析。個人情報だけでなく機密情報が漏えいした場合の損害にも目を向けることや、従業員に対する教育や啓発策の見直し、セキュリティに関する情報共有などについても見直すべきだと指摘している。

　今回の調査は2016年11月にインターネットでアンケートを行い、情報システム管理者では332件、従業員では1104件の有効回答が寄せられた。