セキュリティベンダー「Kaspersky」は2023年におけるヒューマンファクター調査を実施、これによると企業の情報セキュリティは従業員によるポリシー違反が深刻なリスクとなっていることが示されているとのこと。
調査は、19カ国のIT部門で働くエンジニアやセキュリティ担当者、マネジャー職以上の1,260人を対象に行われた。
ポリシー違反によるリスクと影響
過去2年間にサイバーインシデントが発生した企業のうち、26%が従業員による情報セキュリティポリシーの違反が原因であると回答。
マルウェアによる侵害は30%であり、従業員によるポリシー違反とほぼ同じ危険性があることになる。
ポリシー違反の一般的な行動として、脆弱なパスワードの使用(25%)、セキュアでないWebサイトへのアクセス(24%)、システムやアプリケーションのアップデートを怠る(21%)が挙げられた。
また、未許可のサービスやデバイスの使用が原因であるとの回答が24%で、意識的な違反がサイバーインシデントにつながる可能性が示唆された。
サイバーインシデントの主な原因は人為的ミス
企業におけるサイバーインシデントの主な原因は「人為的ミス」であるとの認識が広まっており、調査においては38%が人為的ミスによるものであると回答されている
今回の調査結果からKasperskyの情報セキュリティ部門責任者は、「組織は外部からのサイバーセキュリティ脅威だけでなく、従業員による内部要因にも対応する必要がある」「セキュリティポリシーの策定と実施、従業員の意識向上、サイバーセキュリティ文化の確立が重要である」と述べている。
総じて、企業は従業員の教育とポリシーの実施を通じてサイバーセキュリティの脅威に対処する必要があり、サイバーインシデントは外部からだけでなく内部からも発生する可能性があると想定した総合的かつ統合的なアプローチが求められる。
【参考記事】
Kaspersky「2023年ヒューマンファクター調査」レポート(その1):従業員による情報セキュリティポリシー違反は、外部からのサイバー攻撃と大差なく危険なことが判明
https://www.kaspersky.co.jp/about/press-releases/2024_pro18012024