<企業におけるセキュリティ意識の実態調査>
情報システム部門の方の62.7%が現場社員のセキュリティリスクに不安あり
~3人に1人がデバイス持ち出し時に社外で「機密情報を閲覧もしくは発言したことがある」と回答~
ジャスミーでは、全国の企業に勤める一般社員319名とセキュリティ対策を担う情報システム部門の責任者・担当者107名の計426名を対象に「企業におけるセキュリティ意識の実態調査」を実施いたしました。
昨今、外部からの不正アクセスやシステムの不具合、内部からの持ち出しなどが原因で各企業における情報漏洩が問題になっている中、企業の情報システム部門の方と一般社員のセキュリティ意識の実態を把握するため調査を行いましたので、以下に報告いたします。
■調査サマリー
(1)10人に1人が個人情報流出や情報漏洩などの情報セキュリティ被害の経験あり
(2)6人に1人が会社や顧客の機密情報をPCなどのデバイス内に格納して社外に持ち出したことがある
(3)3人に1人がデバイス持ち出し時に社外で機密情報を閲覧もしくは発言したことがある。周囲の人が社外で機密情報を閲覧している、もしくは発言しているのを見たことがあるという人は10人に1人
(4)機密情報を格納したデバイスを社外に持ち出す際に盗難・紛失や情報漏洩に備えて実施しているセキュリティ対策の上位は「PCなどのデバイスへのログインパスワード設定」、「ドキュメントやファイルの暗号化」と基本的な項目が7割超え。一方で実際に紛失・盗難が発生した場合を想定した対策は4割未満
(5)情報システム部門の方の6割以上が、現場社員の日々の業務におけるセキュリティリスクに不安を感じている。具体的に不安を感じる社員の行動の上位3位は「社内外を含めたメールのやりとり」、「パスワードの管理」、「外出時における会社用スマホ・PCの利用」
(6)テレワーク実施企業の方が、テレワーク中に実施しているセキュリティ対策の上位3位は「セキュリティソフトの導入」、「OSやソフトウェアの最新化」、「パスワード管理の徹底」
(7)全社のセキュリティ対策を進行するうえでの3大課題は「セキュリティ人材の不足」、「セキュリティ意識の低さ」、「予算不足」。情報システム部門の方ほど課題を強く認識しており、一般社員との間で課題認識にギャップがある
■調査結果
(1)10人に1人が個人情報流出や情報漏洩などの情報セキュリティ被害の経験あり
個人情報流出や情報漏洩などの情報セキュリティ被害に遭ったことがある人は11.5%と1割を超えた。個人情報流出や情報漏洩などのセキュリティ被害は10人に1人が経験しており、遠くのニュース上の出来事ではなく、身近にリスクが存在していることが分かった。
(2)6人に1人が会社や顧客の機密情報をPCなどのデバイス内に格納して社外に持ち出したことがある
会社や顧客の機密情報をPCなどのデバイス内に格納して社外に持ち出したことがある人は18.5%と、およそ6人に1人という結果に。ここ数年の趨勢で言うと、コロナ禍を通じてテレワークの実践・浸透が広まり、会社のセキュリティ方針の見直しによって特例や例外で機密情報を含むデバイスを持ち運ぶことを認める会社が増えたことも関係し、社外に持ち出したことのある人が一定数いると推察される。
(3)3人に1人がデバイス持ち出し時に社外で機密情報を閲覧もしくは発言したことがある。
周囲の人が社外で機密情報を閲覧している、もしくは発言しているのを見たことがあるという人は10人に1人
会社や顧客の機密情報をPCなどのデバイス内に格納して社外に持ち出したことのある人のうち、社外で機密情報に関わる内容を閲覧、もしくは発言したことがある人は31.6%とおよそ3人に1人。多数ではないものの、一部の人において情報漏洩リスクへの危機意識の低さが伺える。
また、会社や自宅以外の場所で周囲の人がPCなどデバイスを利用して、機密情報に関わる内容を閲覧している、もしくは発言しているのを見たことがあるという人は10.3%と10人に1人という結果に。
例えば、電車やバス、カフェなどの公共の場で取引先の社名と状況などの機密情報を閲覧・発言しているなどのケースが想定されるが、それらは情報漏洩には至っていないものの、社外で機密情報を閲覧・発言する事象は思いのほか多いと思われる。
(4)機密情報を格納したデバイスを社外に持ち出す際に盗難・紛失や情報漏洩に備えて実施しているセキュリティ対策は
上位は「PCなどのデバイスへのログインパスワード設定」、「ドキュメントやファイルの暗号化」と基本的な項目が7割超え。一方で実際に紛失・盗難が発生した場合を想定した対策は4割未満
機密情報を格納したデバイスを社外に持ち出した経験がある人のうち、88.6%と多数の人は機密情報を格納したデバイスを社外に持ち出す際、盗難・紛失や情報漏洩に備えてセキュリティ対策を実施していることが確認できた。
実際に行っているセキュリティ対策の1位は「PCなどのデバイスへのログインパスワード設定(77.1%)」、次いで「ドキュメントやファイルの暗号化(74.3%)」と基本的な項目が70%を超えた。一方で「ドライブの仮想化(25.7%)」、「リモートロック・リモートワイプ(32.9%)」、「操作制限・デバイス管理(37.1%)」など、実際にデバイスの紛失・盗難が発生した場合を想定した対策は4割に満たない結果だった。簡易的なセキュリティの対策は浸透しているものの、実際の紛失・盗難の被害が発生した場合を想定した対策は進んでいないことが分かった。
(5)情報システム部門の方の6割以上が、現場社員の日々の業務におけるセキュリティリスクに不安を感じている。
具体的に不安を感じる社員の行動の上位3位は「社内外を含めたメールのやりとり」、「パスワードの管理」、「外出時における会社用スマホ・PCの利用」
現場社員の日々の業務におけるセキュリティリスクについて「不安である」もしくは「やや不安である」と回答した情報システム部門の方は合わせて62.7%と、過半数以上が不安を感じていることが分かった。
具体的に不安を感じる社員の行動の上位3位は「社内外を含めたメールのやりとり(73.1%)」、「パスワードの管理(70.1%)」、「外出時における会社用スマホ・PCの利用(56.7%)」という結果に。コロナ禍でテレワークが浸透し、多様な働き方が広がる中、現場社員の日々の業務における行動をすべて可視化・把握することが難しく、社員のセキュリティリスクに不安を感じている情報システム部門の方が多いことが推察される。
(6)テレワーク実施企業の方が、テレワーク中に実施しているセキュリティ対策の上位3位は
「セキュリティソフトの導入」、「OSやソフトウェアの最新化」、「パスワード管理の徹底」
テレワークを実施している企業の方(テレワークの実施頻度について、毎日・週に2、3回程度・週に1回程度・月に1回程度と回答した162名)が、テレワーク中に実施しているセキュリティ対策の1位は「セキュリティソフトの導入(72.2%)」、2位は「OSやソフトウェアの最新化(60.5%)」、3位は「パスワード管理の徹底(59.9%)」。
(7)全社のセキュリティ対策を進行するうえでの3大課題は
「セキュリティ人材の不足」、「セキュリティ意識の低さ」、「予算不足」。情報システム部門の方ほど課題を強く認識しており、一般社員との間で課題認識にギャップがある
お勤めの会社で全社のセキュリティ対策を進行するうえでの課題の上位3位は「セキュリティ人材の不足(39.2%)」、「セキュリティ意識の低さ(33.1%)」、「予算不足(23.9%)」と、この3大課題が企業におけるセキュリティ対策の推進の壁になっていることが確認できた。
情報システム部門の方と一般社員別に回答を見ると、「セキュリティ人材の不足」に対して課題を感じているのは、情報システム部門の方は62.6%、一方で一般社員は31.3%と30ポイント以上も課題の認識に差があった。また、組織の「セキュリティ意識の低さ」に対して課題を感じているのは、情報システム部門の方は50.5%、一方で一般社員は27.3%と20ポイント以上も課題の認識に差があった。情報セキュリティは一般社員を含む全社員に関わるトピックであるにもかかわらず、一般社員にはその危機感を認識してもらえていない情報システム部門の方の悩みが顕著となった結果を得られた。
調査概要
調査名:企業におけるセキュリティ意識の実態調査
期間:2023年8月28日(月)~8月30日(水)
方法:インターネット調査
対象:全国の企業に勤める20~69歳の男女426名
(一般社員319名、セキュリティ担当の情報システム部門責任者・担当者107名)
ジャスミー株式会社 取締役 柿沼英彦 コメント
調査を通して、情報システム部門の方の半数以上が、社員の日々の業務におけるセキュリティリスクを不安に感じていることが分かりました。コロナ禍のテレワークの普及により、セキュリティ対策に頭を悩ませていることが増え、情報システム部門の方は様々な不安要素を抱えていると推察されます。働き方の多様化が加速するとともに、可視化・把握しきれない社員の行動に不安を感じています。
セキュリティ対策推進のうえでの3大課題として「セキュリティ人材の不足」、「セキュリティ意識の低さ」、「予算不足」が挙げられました。「セキュリティ人材の不足」については、中小企業・中堅企業など企業規模によっては、情報システム部門に担当者が少ない、専任者がいないなどのケースもあり手が回らないこともあります。「セキュリティ意識の低さ」については、3人に1人がデバイス持ち出し時に社外で機密情報を閲覧・発言したことがあることも踏まえると、被害発生後の影響が十分に理解されていないことが考えられます。また、デバイス持ち出し時にパスワード設定やファイルの暗号化などの対策をしている方は多いですが、パスワードは解読される可能性もあるため、これらの対策だけでは情報流出を防ぐには不十分な場合もあり、実際の紛失・盗難の被害を想定した対策を実施している人が少ないのが現状です。「予算不足」については、システム導入などセキュリティ対策に費用をかけることの重要性を組織(特に経営層)が理解していない背景があると考えられます。
当社ではテレワークにおいて安全な作業環境を実現するセキュリティソリューションを提供しています。新型コロナウイルス感染症が5類感染症に移行した後に出社を再開する企業、テレワークを継続する企業と、働く場所は引き続き多様化していますが、こうした中で、調査で明らかになったセキュリティ対策の課題を解決するには、以下の3つが有効であると考えています。情報漏洩などの事件のきっかけになりうる社員の行動を可視化・察知し、未然にセキュリティ被害を防ぐことが今後企業により求められるでしょう。
1.外出時やテレワーク時のセキュリティ強化と社員への教育
※ドキュメントやファイルの暗号化、ログインパスワードの設定などの簡易的な対策から、ドライブ仮想化、リモートロック・リモートワイプ、操作制限・デバイス管理などの実際の被害を想定した対策までを徹底
2.社員のセキュリティに対する意識を高めるため、目に見えるシステム対応を実施(例:禁止フォルダーやサイトへのアクセスワーニング、ログ管理)
3.情報システム部門のセキュリティ人材不足や予算不足へ対応するため、システムの設定・管理に手間がかからない製品を選定することも重要
ジャスミーではテレワークにおいて安全な作業環境を実現する「Jasmy Secure PC」を提供しています。セキュリティ・インシデントへの対策と合わせて機能解説をしておりますので、ぜひこちらからダウンロードしてご覧ください。
※資料ダウンロードページへのリンク
