ベライゾンジャパンは5月15日、年次のセキュリティ調査「Verizon Mobile Security Index」の2020年版を発表した。モバイルセキュリティの現状を調査し、さまざまな種類の脅威を検証することで、企業・組織のIT環境を保護するためのヒントを提供することを意図したもの。モバイルに関しては多くの企業が「まずつながること」を最優先に取り組む一方で、セキュリティを犠牲にする例が少なくないようだ。
セキュリティ担当ソリューションエグゼクティブの森マーク氏は、新型コロナウイルスの世界的な流行を踏まえ、「企業はモビリティーに頼らざるを得ない状況だが、セキュリティが犠牲になっている」と指摘した。
「Verizon Mobile Security Index」(MSI)で明らかになったセキュリティリスクの現状
背景には「リスクの過小評価」があるという。具体的には(1)78%が従業員を最大のリスクであると感じているが、十分な使用方針(Acceptable Use Policy:AUP)を有する企業・組織は44%、(2)83%が従業員による誤用を特定できると考えていたが、実際は75%の企業・組織の従業員がギャンブルやアダルトコンテンツサイトを閲覧、(3)86%が不正アクセスによるデータ・情報侵害・漏えいを突き止められると感じていたが、実際に事故にあった39%が第三者による報告により認知――といった状況で、認識と実態にギャップが生じていることが明らかにされた。
さらに、最も基本的な予防措置として紹介された「全てのデフォルトパスワードの変更」「パブリックネットワーク経由で送信されるデータの暗号化」「定期的なセキュリティテストの実施」「『need to know』に基づくアクセス制限」の4つ全てを実施した企業・組織は13%にとどまることも紹介された。
モバイルセキュリティへの取り組みが犠牲になっている理由として同氏は、新型コロナウイルスの流行の影響もあって急いでリモートワーク環境を整備する必要に迫られた企業などでは、まずリモートから接続できるようにすることを最優先とし、セキュリティレベルが不十分であると認識しつつもそこには目をつぶって環境を構築している例も多いと指摘する。また、「モバイルセキュリティと一般的なサイバーセキュリティはややかけ離れている面もある」とした。
例えば、フィッシングメールの被害が増加している傾向にあるが、PCでフィッシングメールを受信した際にユーザーがそれを見破るための特徴や情報などが、モバイル端末上では表示されないなど、PCとモバイル環境の違いを踏まえて対応の仕方を変える必要があるにもかかわらず、その対応が追いついていないといった状況が生じているという。
また、「モバイル向けのユーザーポリシーが設定されていない」ことも指摘された。前述のAUPのことだが、PCでの利用を前提とした企業内ネットワーク/インターネットのAUPは整備されていても、モバイルネットワーク特有の事情を踏まえたAUPがない例も多いことから、同氏は「AUP設定をモバイル端末に対しても整備する必要がある」と提言した。
モバイルセキュリティに対応したAUP(Acceptable Use Policy:使用方針)の策定が推奨される
オンライン会見では、三井物産セキュアディレクション(MBSD)のコンサルティングサービス事業本部長の関原優氏もゲストで講演し、同社の概要やベライゾンとのグローバルなパートナーシップについて説明した。
VerizonとMBSD(三井物産セキュアディレクション)のパートナーシップによるセキュリティ対応