CompTIA委託による実験調査では、約5人中1人が、公共の場で拾ったUSBメモリを、個人そして潜在的には所属する企業のデバイスや情報に、サイバーセキュリティ脅威となり得る方法で使用を試みたことが確認された。
企業が直面しているサイバーセキュリティ脅威は、ますます複雑化していることから、適切なサイバーセキュリティ習慣を持たない従業員は、彼ら自身や企業の両方を危険にさらすこととなる。
「従業員にセキュアなアクションを望むのであれば、組織は、それを可能にするための知識やリソースを提供しなければいけません。」CompTIAのCEO,
Todd Thibodeauxは言う。「従業員は防御の第一線にいます。そのため、サイバーセキュリティのベストプラクティスを、全ての従業員にトレーニングすることを最優先とする必要があります。」
全米のフルタイム従業員1,200名を対象としたCompTIAの調査では、「勤務先でいかなるサイバーセキュリティトレーニングも受けたことがない」と回答した割合が45%に上った。また、サイバーセキュリティトレーニングを実施する企業においても、15%が紙ベースのトレーニングマニュアルに依存していることが分かった。
CompTIA最新の調査「Cyber Secure: A Look at Employee Cybersecurity
Habits in the Workplace (職場における従業員のサイバーセキュリティ習慣)」では、従業員のテクノロジー使用、セキュリティ習慣、サイバーセキュリティの意識レベルについて言及している。同調査では、セキュリティ習慣を確認するため実証実験が実施された。
実験では、200個のUSBメモリが用意され、シカゴやワシントンDCなど交通量の多い4都市に置かれた。結果、全体の17%にあたるUSBメモリがデバイスにつながれてしまう。また、USBメモリを手にした人は、テキストファイルを開封し、見覚えのないリンクへの接続、表示されているアドレスへのメール送信といった危険性の高い行動を取ることが分かった。
「無害に見えるかもしれないこれらのアクションですが、ハッカーやサイバー犯罪の被害者になり得る本当の脅威につながる可能性があります。」Thibodeauxは述べている。
潜在するサイバー脅威という点においては、フルタイム従業員の94%が、公共のWiFiネットワークを定期的に利用し、さらには、69%が公共のWiFiを利用して業務に関連するデータを扱っていることが分かった。
また、38%が、仕事で使うパスワードを個人目的で使っているなど、パスワード保護に関する意識の低さがうかがえる。
さらに、36%は、仕事のメールアドレスを個人用アカウントとして使用。また、38%が、仕事用パスワードを個人アカウントに使用するなどがある。こうしたビヘイビアは、組織のセキュリティ上の弱点を増やすだけで、適切なトレーニングの実施なしで対処することは困難である。
その他本調査の見所は以下の通り:
● 従業員の63%は、仕事用モバイルデバイスを個人使用している
● ミレニアル世代の27% は、過去2年間において個人情報のハッキング被害を受けている。回答者全体でみた被害の割合は19%であった
● 従業員の41%は、2要素認証が何であるか知らない
● 従業員の37%は、一年に一度または散発的にしかパスワードを変更しない
「年齢」も、サイバーセキュア認識に関係している。ベビーブーマー(概ね1946年〜1959年に生まれた世代)、ジェネレーションX(概ね1961年〜1981年に生まれた世代)、ミレニアル(概ね1980年代〜2000年代前半に生まれた世代)は、それぞれ特有なセキュリティ課題やリスクを組織にもたらす。ミレニアル世代の42%は、この2年間において、仕事用デバイスのウイルス感染を経験している。全体数の割合は、32%になる。ミレニアル世代の40%は、落ちているUSBメモリを拾う可能性があることが分かった。それを年代別でみると、ジェネレーションX世代では22%、ベビーブーマー間では9%という結果であった。
「新従業員の採用とともに、組織ではさらなる注意を払い、効果的なトレーニング対策を講じる必要があります。」CompTIAのEvent
and Education, シニアVP Kelly Rickerは言う。「企業では、サイバーセキュリティトレーニングを一度実施するだけで終わるアクティビティとしてではなく、組織全体の全従業員を対象にした継続的なイニシアチブとして扱うことが重要となります。」
|