• News
  • 共通

在宅勤務の増加はサイバー攻撃を招く”時限爆弾”、米HPが調査

DIGITAL X 編集部
2021年10月22日

コロナ禍での在宅勤務の増加が企業ネットワークへのサイバー攻撃を招き入れる“時限爆弾”につながっている--。こんな調査結果を米HPがまとめている。背景には、在宅で勤務する若手が業務効率を理由にセキュリティ対策の強化を拒否し、その反発を受けてIT部門が落胆していることがある。日本HPが2021年10月15日に発表した。

 米HPがまとめる『HP Wolf Security Rebellions & Rejections~IT部門と従業員の確執』最新版は、新型コロナウイルス感染症(COVID-19)に伴う在宅勤務などにおけるセキュリティ対策を調べたものだ。仏Tolunaの調査と英YouGovの調査を組み合わせている。

 仏Tolunaの調査は、IT部門の意思決定者1100人を対象に、2021年3月19日から同4月6日までにオンラインで実施した。一方の英YouGovの調査は、COVID-19拡大期間中に在宅勤務に移行した8443人の内勤者を対象に2021年3月17日から同25日までにオンラインで実施した。

 HPのまとめによれば、コロナ禍での事業継続に向けて、IT部門はセキュリティを妥協せざるを得ないのが実態だ。IT部門の76%(日本は84%。以下同)が「セキュリティは後回しになっていた」と認め、91%(93%)が「妥協への重圧を感じた」という。結果、83%(87%)が「在宅勤務の増加が企業ネットワークの侵害を招く“時限爆弾”につながっている」と考えている。

 セキュリティ環境が悪化している要因に挙がるのが、セキュリティ対策強化への在宅勤務者の拒否だ。特にデジタルに親しんできた世代である18~24歳の内勤者の48%(55%)が「セキュリティツールは業務の妨げだ」と感じている。結果、31%(38%)が「業務効率化のために企業のセキュリティポリシーを回避しようとしたことがある」としている(表1)。

表1:「セキュリティツールは役立つよりも妨げになることが多い」とする内勤者の年齢層別割合
全体18~24歳25~34歳35~44歳45~54歳55歳以上
34%48%40%35%31%23%

 内勤者の48%(42%)は、「必須とされるセキュリティ対策で時間が無駄になっている」と回答し、18~24歳では64%(62%)に高まる。18~24歳の54%(48%)が「組織からのデータ漏えいよりも業務の締切を心配している」。39%(52%)は「セキュリティポリシーの内容をよく分かっていないか、存在自体を把握していなかった」

 一方でセキュリティ部門は、データ保護のために従業員の行動の抑制に取り組んでいる。91%(94%)が在宅勤務の増加に伴いセキュリティポリシーを更新したとしており、78%(87%)はWebサイトやアプリケーションへのアクセスを制限している。

 こうした制御が、従業員との摩擦を生み、制御を不快に思う従業員がIT部門に反発する。内勤者の37%(49%)が「セキュリティポリシーや技術の制限が厳しすぎることが多い」としている。IT部門の80%(84%)は「在宅勤務中に課される制御を嫌う従業員からの反発を経験」し、67%(59%)は「苦情を毎週のように受けている」

 セキュリティ部門は落胆し、拒否された気持ちに陥ってしまってもいる。IT部門の80%(81%)が、誰も耳を傾けてくれないことからITセキュリティが「報われない仕事」になってきたとし、69%(73%)が「従業員に制限を課すことで自分たちが悪者であるような気にさせられている」という。

 IT部門は83%(82%)が、「プライベートと仕事の境界が曖昧になっている今、企業のセキュリティポリシーを策定し従業員に強いることは不可能だ」としている。

 在宅勤務が増える中で直面している脅威の種類と深刻さについては、IT部門の84%がランサムウェア(身代金要求型ウイルス)を挙げる。PCのファームウェアへの攻撃(83%)、パッチ未適用デバイスの脆弱性の悪用(83%)、データ漏えい(82%)、アカウントやデバイスの乗っ取り(81%)も8割を超えている(図1)。

図1: IT部門が考える攻撃方法別脅威レベル

 HPのCISO(最高情報セキュリティ責任者)であるジョアンナ・バーキー(Joanna Burkey)氏は、調査結果に対し、こう語っている。

 「セキュリティは当該部門のみが責任を負わされるべきものではなく、誰もが関与する必要があるエンドツーエンドの分野だ。CISOやIT部門は従業員に対し、セキュリティリスクの増大に関して十分にコミュニケーションをとり、教育する必要がある。一方でIT部門は、セキュリティが作業の流れや生産性にどのような影響を与えるかをよく理解しなければならない。ビジネスと在宅勤務者の双方のニーズに基づくセキュリティを再評価する必要がある」