セキュリティへの過信や技術に関する無知が明らかに–ドリーム・アーツ調査

今回は「セキュリティへの過信や技術に関する無知が明らかに–ドリーム・アーツ調査」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　ドリーム・アーツは1月9日、大企業の経営層とIT部門を対象に実施したセキュリティ意識調査の結果を発表した。特にセキュリティ技術に関して、多くの回答者の無知や過信である実態が判明したとしている。

　同社は、大企業向けのローコード開発環境サービスなどを主力としている。調査結果を解説した取締役 執行役員 CTO（最高技術責任者）の石田健亮氏は、「クラウドサービスの利用拡大に伴い、顧客からのセキュリティ確認事項が年々増加している。その背景を探るため目的での調査だが、セキュリティに対する過信や慢心、無知といった状況が判明した。この結果を適切なセキュリティ対策のきっかけにしていただきたい」と述べた。

　調査は、従業員数1000人以上の⼤企業の経営層と情報システム部で「重要な情報」を扱う人を対象に、2024年11月22～25日にインターネットアンケートを行った。有効回答は500件で、内訳は経営層が50件、IT部門の係長以上が200件、IT部門の一般職が250件。「重要な情報」の定義は、サイバー攻撃などによって事業停止といった影響が特に大きいものとしている。

　まず、「重要な情報」のセキュリティ対策状況については、「十分な対策をしている」が52.6％、「おおむね十分だが改善の余地はある」が38.4％に上り、合計で91.0％の回答者は、「重要な情報」のセキュリティ対策が十分だと考えていることが分かった。「十分ではない」は8.2％、「必要性を感じていない」は0.8％、「全く対策できていない」は0％だった。

　役職別で見ると、「十分な対策をしている」との回答は、IT部門の一般職と管理職では35.3～54.9％の範囲だったが、経営層では68.0％に上った。また、「十分ではない」とした回答者は、IT部門一般職の社会人歴3年未満で23.5％だった一方、それ以外の回答者では1割未満だった。

　過去1年間のセキュリティインシデント経験の有無は、「あり」が63.4％、「なし」が25.6％、「分からない」が11.0％だった。経験したセキュリティインシデントの詳細（複数回答）では、「メール誤送信」が152件、「ランサムウェア攻撃」が134件、「マルウェア感染」が131件、「外部からの不正アクセス」が128件、「外部サービスやインターネット回線の障害・停止」が109件、「DoS/DDoS（サービス妨害）攻撃」が108件、「従業員による内部不正」が86件だった。「セキュリティインシデント経験はない」は128件となっている。

　これらについて石田氏は、「事前に管理職や経営層ほどセキュリティの実態を把握できていないだろうと想定していたが、結果を見て驚いた。多くが『十分な対策をしている』と回答しながら6割以上がセキュリティインシデントを経験し、どこかに問題がある。当社もサービスを提供する立場で毎日多くのサイバー攻撃を受け防御しており、本当に怖いと痛感している。常に警戒しなければ自社を守ることはできないので、『過信をしていないだろうか』といった点から見直すべきだろう」と指摘した。