デジタルアーツは民間企業や官公庁のシステム担当者や情報セキュリティ担当者を対象に「テレワーク導入・導入検討中の組織に対するセキュリティ対策意識調査」を実施。6月21日に調査結果を発表した。4月16~21日にインターネットで調査した。有効回答者数は1065人。
テレワークの導入は新型コロナウイルス感染症拡大の影響で急速に進んだが、同時にセキュリティ対策が不十分なテレワーク環境を狙ったサイバー攻撃も増加していると説明。このような背景を踏まえ、テレワーク実施組織によるセキュリティインシデントの発生状況やセキュリティ対策に対する意識と現状の実施状況について調査した。
調査対象は、自組織のインシデント状況を把握し情報セキュリティ対策の意思決定に関わり、かつ、2020年1~12月に何らかのインシデントが発生した組織としている。
2020年に組織内でどのようなインシデントが発生したかを調査したところ、インシデントの8割以上がウェブアクセスとメールに起因していることが判明。最近では元職員による営業秘密の持ち出しなど内部不正も話題になったが、依然として内部攻撃よりも外部攻撃のインシデントが多いことが明らかになっている。
回答者1065人のうち、「フィッシングメールの受信」は695人と全回答者数の65.3%、「ビジネスメール詐欺のメール受信」は534人で全回答者の50.1%と、上位2項目では組織の半数以上がメールによるインシデントを経験していることが判明している。
「フィッシングメールの受信」「ビジネスメール詐欺のメール受信」「不正サイトへのアクセス」のほか、インシデントの上位に位置する標的型攻撃やランサムウェアの感染なども組織を狙ったメールやフィッシングメール、改竄サイトの閲覧などがインシデント発生の主な原因となっていいる。
※クリックすると拡大画像が見られます
こうしたインシデントのあった組織でも、リスク管理体制やサイバー事故対応の専門チーム「Computer Security Incident Response Team(CSIRT)」がおおむね機能していると回答した組織は8割以上に上り、リスクに対する危機意識は高いとしている。
また、これらの組織は情報セキュリティ対策を「重要課題」と位置付けているが、さらに重みのある「経営課題」と位置付ける組織は全体の54.6%と、インシデントがあったのにもかかわらず全体の約半数に留まっている。