英国事情:大半の企業がリモートワークに対応できていない

British Organisations Are Unready For Remote Work

2021/09/15 CyberSecurityIntelligence — コロナウイルスが出現して以来、あらゆる業界が何らかの影響を受けている。コロナウイルスは、私たちの仕事のやり方を変え、サイバー犯罪者がリモート・ワーカーを狙うという、新たな機会を生み出した。自宅で仕事をすることは、犯罪者が別の手段でデータを盗むための入り口となっている。今回の調査では、英国企業の半数が、最も基本的なサイバー・セキュリティ・スキルを身につけていないことが明らかになり、また、雇用主に対して対策を講じるよう緊急の呼びかけを行うものとなる。

今回の調査では、過去12ヶ月間に 60% の英国企業が、サイバー攻撃を経験しているにもかかわらず、サイバー攻撃に対処する能力を備えていないことが分かった。調査対象となった英国企業の大半は、最新のリモートワーク・シナリオの課題に対応するために、広範な戦略の変更ではなく、従業員の教育に頼っている。

ManageEngine の調査によると、67% の企業がセキュリティの脅威について従業員の意識を高め、66% がサイバー・セキュリティに関するトレーニングを提供している。英国の 300人以上の IT 専門家を対象にした、ManageEngine の Digital Readiness Survey によると、これらのベストプラクティスの取り組みに対する、従業員の参加は不十分であり、また、セキュリティ戦略を適応させた組織は半数以下 (47%) であった。

ThycoticCentrify が実施した別の調査では、回答者の 79% が過去1年間に、少なくとも1つのリスクのある活動を行ったとしている。35% がブラウザにパスワードを保存したことがあり、32% が1つのパスワードを使いまわしたことがあり、23% が個人所有のデバイスを企業ネットワークに接続したことがあるという。ほとんどの企業は、リモートワーカーへの対応が明らかに危険であるにもかかわらず、新しいソリューションを導入することもなく、また、変化するエコシステムを反映するよう、既存アーキテクチャを再構成することもない。

・42% の企業が、セキュリティ確保のために従業員のデバイスを監視している。
・76% の IT 購入は、IT チームの直接の承認を得ずに行われている。IT チームと他の部門との間に断絶が生じ、パッチが適用されていないソフトウェアによる、セキュリティ上の脆弱性が組織にもたらされている。
・95% の企業は、少なくとも今後2年間は、リモートワーカー・サポートを継続する予定だ。セキュリティ脅威の増加を考えると、どのようなセキュリティ戦略を適応/実施するかを、決定することが極めて重要である。
・45% の企業がフィッシングの増加を経験している。続いて、38% がアカウント・ハイジャックを、36% がソーシャルメディア経由の攻撃を、34% がエンドポイント・ネットワークへの攻撃を経験している。

Cyber Security Association の Chairman and CEO である Chris Windley は、このような新たな脅威に対して、先回りして対処するためには、組織内の IT リーダーの役割を見直すことが重要だと述べている。彼は、「IT 部門が組織に組み込まれる形態やレベルは、ビジネスの内容により異なる。権限レベルと運用予算が不足すると断絶が生じる。それにより、IT プロフェッショナルは、他のチームの情報に基づいたコンサルタントではなく、Yes/No を言うだけの人たちになってしまう。つまり、より協調的なアプローチが必要である。 IT チームがビジネス全体と、どのように連携するのか、また、適切なツールとソフトウェアにアクセスして、サイバーとデータの安全性と整合性を確保することが重要だ」と述べている。

COVID-19 のせいで、否応なく始まってしまったリモートワークですが、イギリスも事情は同じという感じですね。日本語に直訳すると「攻撃面積」的な言葉が、この手の記事などでよく使われますが、脅威アクターたちから見れば、狙い所が桁違いに増えたというのが、現状なのだと思います。この ManageEngine の調査結果を見れば、一目瞭然ですが、新たな仕事の環境へと移行しても、セキュリティがまったく追いついていない、ということなのでしょう。それは、日本も同じなので、考えるべきことがたくさんありますね。

%d bloggers like this: