1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. セキュリティラボ白書 〜データで読み解く企業のセキュリティ実態〜​

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

セキュリティラボ白書

〜データで読み解く企業のセキュリティ実態〜

記事の要約

  • 厳格な使い分けが必須にもかかわらず、大半の社員が犯しているパスワードの“使い回し”。要因に挙げられるパスワード運用の厳格化。
  • 半数の社員に「シャドーIT」経験があり、大半の企業で持ち出し用端末の盗難・紛失対策が立ち遅れるなど、社員も企業も共に低い、情報端末利用のセキュリティ意識。
  • 情報セキュリティ対策、とりわけ認証システム強化の重要性を認識していながら、半数近くの企業が取り組みに遅れ。原因は、コスト事情と経営者の理解不足。

全文を読む

 手口を変えて巧妙化するサイバーアタック。内部不正者による情報漏えい。
企業が保有する機密情報を狙った内外からの攻撃が跡を絶ちません。注目すべきは、パスワードを使った認証システムの隙を突く攻撃が頻発している点です。
 ここでは、業務でPCを日々使用している情報システム担当者と現場社員に対して富士通が行った「セキュリティ対策意識と実態にかかわる調査」より、パスワードの利用の実態と認証セキュリティの危険な関係にスポットをあててご紹介します。

調査概要
・目的 企業のセキュリティ対策意識と実態に関する分析・考察
・調査方法 WEBによるアンケート
・調査期間 2015年1月16日〜2015年1月20日
・対象 国内の従業員規模500人以上の企業で勤務する社員(258人)
国内の従業員規模100人以上の企業・団体で勤務する情シス・経営層(516人)
1 本来、厳格に使い分けしなければならないパスワードの運用。
ところが9割以上の社員がパスワードを“使い回し”しています。

 データ1は、「ビジネスパーソンに日常業務において、IDやパスワードでログインして利用するシステムの数」をデータしたものです。
 それによると、パスワードでログインする業務システムが複数ある企業は94%。なかでも、ログインする業務システム数が4つ以上という企業が50%を超えていて、10を超えるという回答も全体の約1割に達しています。

 次に、「業務システムやプライベートで利用するサイトで、パスワードを使い分けている人の割合」を見てみると(データ2)、すべて異なるパスワードで使い分けている人は、わずか6.6%。
 大半(92.6%)の人が、なんらかの形でパスワードを“使い回し”しています。

 その理由としてデータ3に示すように、覚えきれないや、入力する手間が煩わしいなどが挙げられていて、8桁以上で1つ以上の英文字や数字、特殊文字の使用を義務付ける等パスワード運用の厳格化がパスワードの使い回しの要因になっていることがわかります。

〈データ3〉パスワードを使い回す理由

〈データ1〉IDやパスワードを使用する業務システム数

〈データ2〉パスワードの使い回し実態

2 パスワードを“使い回し”すべきでないと分かっていても、
効率の悪さやログイン時のストレスが、“使い回し”を野放しにしています。

 パスワードの“使い回し”に対して社員がどのように感じているかを示したのがデータ4です。業務システムでは可能な限りIDやパスワードを“使い回し”すべきでないと考えている社員の割合は85%にものぼっています。

〈データ4〉仕事で利用する業務システムでIDやパスワードを使い回すべきではない。

〈データ5〉ID、パスワードへの意識

 しかしながらデータ5で示すように複数のIDやパスワードを記憶することは難しいと考えている社員の割合は9割近くに達しています。また、キチンと使い分けすることにストレスを感じている社員が8割を超えているほか、業務システムごとに使い分けることで業務効率が低下すると回答した割合も6割にものぼっています。“使い回し”すべきでないと思っているものの、現実には“使い回し”を止められない社員のジレンマが浮き彫りになっています。

3 私有のPCを業務に使用した経験をもつ社員は約半数。
一方、大半の企業が十分なセキュリティ対策を行っていません。

 データ6に示されているのは、会社で使用許可を得ていない私有のPCを業務で使用した経験のある社員の割合です。半数の社員に使用経験があり、3割もの社員が現在も使用中と回答しています。

 データ7に挙げられたその理由を見てみると、外出先で緊急事態だったからという回答に続き、私有のPCでもセキュリティ対策をしているから、機密にかかわる内容の業務をしているとは思っていないから、などの理由が挙げられています。会社が管理していない情報端末を仕事で勝手に使う「シャドーIT」に潜むリスクを、社員の多くが十分に認識していないことがわかります。

〈データ6〉私有のPCの業務使用経験(会社の許可無し)

〈データ7〉私有PCを無許可で業務使用した理由

 では、会社側が管理している持ち出し用端末の場合はどうでしょう。データ7は、社員が外出先へ持ち出した業務用PCを紛失した際、格納された情報を守るための対策について質問した結果です。驚いたことに十分な対策をとっていると回答したのはたった8%。
 盗難や紛失をはじめ、情報端末の利用に対するセキュリティ意識が、企業側にも不十分であることが見てとれます。

〈データ8〉外出先で業務用PCを紛失した際のセキュリティ対策

4 自社のセキュリティ対策を行っている企業は半数に満たない現状。
しかし、情報システム担当者の8割が認証システムのセキュリティ強化の必要性を認識。

 情報システム担当者に自社のセキュリティ対策について質問した結果がデータ9です。
十分な対策を行っていると回答したのはわずか3%。改善の余地がある、不十分だと考えている情報システム担当者の割合は半数近くにのぼっています。とりわけ社員の業務用PCの認証システムのセキュリティ強化については、8割の情報システム担当者が重要性を認識しているのが特徴的です。(データ10)

〈データ9〉自社のセキュリティ対策に関して

〈データ10〉社員のPC端末・認証システムのセキュリティ強化の必要性

 データ11は、そうした認識が急速に広がっていることを如実に示しています。実際に4割を超える企業で、情報セキュリティ対策として認証システムを強化した業務用PCの整備を実施しています。見方を変えれば、認証システムのセキュリティ強化の重要性を認識していながら、半数近くの企業が手をつけられていないのが実情といえるでしょう。

〈データ11〉認証システムを強化した端末の整備

5 情報セキュリティ対策を不十分と感じながら、報告しない情報システム担当者。
コストと経営陣の理解の乏しさが、その理由です。

〈データ12〉不十分な「セキュリティ対策」に関する報告 改善提案状況

 データ12は、情報システム担当者に対し、情報セキュリティ対策について経営層や上司への報告の有無を質問した結果です。
 自社の情報セキュリティ対策に関して、不十分(改善余地あり・早急な改善策が必要)と感じていながら、報告をしない情報システム担当者の割合は4人に1人。報告しつつも改善策を提案しない、と回答した割合まで含めると6割にのぼっています。
情報セキュリティ対策の改善や強化が必要と分かっていながら、打ち手を講ずることが出来ていない実態が窺えます。

 その理由としては、データ13に見られるようにコスト事情と経営者の理解不足が挙げられています。
 そんな情報システム担当者が、業務システムのログイン時などの認証セキュリティ強化に、どんな手段が最も有効と考えているかを示したのがデータ14です。最も評価が高いのが生体認証センサー搭載のPC端末の導入。社員教育の徹底やパスワード運用ルールの厳格化などを大きく引き離し、4割近い情報システム担当者が最も有効と考えています。

〈データ13〉セキュリティ不十分(改善の必要あり)であることを報告しない理由(自由回答抜粋)
  • ●報告しても理解されないと思う。また、対策にはコストもかかるので。
  • ●新規に予算が必要なものはなかなか許可がおりない。それに、現行システムの刷新など、優先順位の高い他の案件が山積しているから。
  • ●対策には費用が必要なため、たとえ効果的だとわかっていても良い提案や報告ができない。
  • ●そもそも情報システム部門に対する、経営陣の理解が乏しい。
  • ●報告や提案をしても経営陣には理解できないため、とりあってくれないと思う。
  • ●上司が情報セキュリティ対策への知識に乏しく、報告しても改善が期待できない。
  • ●脅威について十分に説明できる自信がない。
〈データ14〉PC端末の認証セキュリティを強化する最も有効な手段

 以上、調査データを元に述べてきたように、現場ではセキュリティリスクが散見され、情報システム担当者においては、「現状のセキュリティ対策では不十分」という認識がある一方で、コストや経営陣のセキュリティリスクへの理解の乏しさから、対策を踏みとどまっている企業が多く見られます。

 しかしながら、ほとんどの企業で採用されているパスワード認証については、ストレスや業務効率低下の観点から、パスワードを使い回している社員の割合が多くを占めており、リスト型アカウントハッキングの標的となる危険性を大いに孕んでいます。
その他の調査データや、リスト型アカウントハッキング、生体認証ソリューションについては、以下の参考記事をご覧ください。

■その他の調査データ記事

⇒知ってるつもり!?企業システムのパスワード運用実態
⇒PCセキュリティ対策の“危険”な現状

■リスト型アカウントハッキングに関する記事

⇒“パスワード認証”が現代の企業システムの大きなリスクに
⇒限界!社員のパスワードで会社がリスト攻撃の標的に

■生体認証ソリューションに関する記事

⇒生体認証導入をお考えの方へ 富士通の生体認証ソリューション
⇒“Mr.手のひら静脈認証”若林氏が語る導入のメリット
⇒製品レビュー!生体認証はID・パスワードに代わる手段となるか?

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。