デジタルアーツは4月24日、標的型攻撃対策に対する意識・実態調査の結果を発表した。これによると、標的型メール訓練の結果、メールやウェブページを開くまでの時間が増加し、業務生産性が低下したと管理者の約50%が回答していることが分かった。
同調査は、全国の企業に勤める情報システム管理者および従業員を対象にしたもので、勤務先における標的型攻撃対策について尋ねている。調査期間は3月28日〜4月1日でインターネット経由で実施された。有効回答数は1435件(情報システム管理者:330件、従業員:1105件)。
標的型攻撃対策として標的型メール訓練を導入している企業は71.8%に上った。標的型メール訓練について、情報システム管理者・従業員ともに半数以上は「社内の教育」と認識しており、「利用者自身の知識で補っている」との実感を持っている。しかし情報システム管理者の半数は「製品の効果」も実感している。
また訓練メールを開いてしまった場合、該当社員に何らかの教育を課す・注意するなどの対応を取る情報システム管理者は半数で、「評価に該当する」との回答は30.8%だった。URL(1つ)、メール(1通)の安全を確認して開封する時間が以前に比べて長くなったと感じる人が約50%、そのうち2〜3倍長くなったと感じる人が80%以上となった。デジタルアーツでは、訓練メールを徹底したことによる効果と反比例して、業務の生産性が低下しているのではないかとしている。
訓練メールや不審なメールを開封してしまった経験のある従業員は21.0%で、開封してしまった場合の対応について認識していない従業員は32.7%だった。
また不審なメールを見分ける要素としては「送信元のメールアドレス」「件名」とする人が60%以上となり、不審なURLやウェブページを見分ける要素は「ドメイン」とする人が60〜70%となった。
デジタルアーツでは、今回の調査結果の傾向として、全体的に標的型メール訓練の導入は進んでおり、情報システム管理者と従業員の双方で一定の効果が得られているとした。しかし、訓練メールを開封した経験の有無について、管理者と従業員間の回答数にかい離があり、従業員が訓練自体を認識していないことが考えられ、従業員への教育や情報共有において再度見直す必要があるとしている。また今後は、業務効率化の観点からウェブサイトとメールの閲覧において従業員がセキュリティー脅威を意識せず利用できる仕組みを、製品によって対策する必要があるとした。