会社支給のコンピューターを使って在宅ワークをする従業員は、サイバーセキュリティの知識が明らかに不足しており、リスクの高い行動をしている ― あらゆるIT接続をよりスマートかつ安全にする自動化プラットフォームであるIvantiのレポートによってそんな実態が明らかになりました。「2021年消費者セキュリティサイバーレポート」では、4人に1人の消費者がフードデリバリーやオンラインショッピングサイト、オンラインデートなどの消費者向けウェブサイトやアプリへのログインに、仕事用メールアドレスやパスワードを使用していると答えたことが分かりました。
また、未だ収束しないコロナ禍により広がるリモートワークの環境下で、消費者は家庭でのIoTデバイス全般について基本的なセキュリティ対策を行っていないことも明らかになりました。これは、個人にも企業にも深刻なセキュリティ上の影響を与える恐れがあります。消費者が行いがちなパスワードの使いまわしによって、企業は常に悪質な消費者向けウェブサイトから認証情報が盗まれるリスクにさらされているとレポートは指摘しています。このため、組織にとっても消費者にとっても、仕事用とプライベートでのアプリやウェブサイトのログイン情報を明確に分けることが重要です。
パンデミックにより何百万人という人々が在宅ワークを始めた結果、企業が攻撃にさらされる機会は大幅に拡大し、組織はビジネスの継続を維持するとともに、企業のリソースやツールへの安全なアクセスの提供という問題に直面することになりました。
「消費者セキュリティサイバーレポート」は、コロナ禍で会社支給のコンピューターを使用して在宅勤務を行うアメリカ人1,000人を対象に、消費者と企業のサイバーセキュリティに関する行動の変化を調査しました。 レポートではまた、企業がサイバーセキュリティを強化するための措置を講じていることも明らかになっています。 しかし、サイバー攻撃が増加しているにもかかわらず、ほぼ4分の1の企業が多要素認証や企業のワークスペースの隔離ポリシーといったゼロトラスト・セキュリティのベストプラクティスを導入できていません。
IvantiのCSO フィル・リチャーズは次のように述べています。「FBIは2020年9月にパスワードリスト型攻撃の増加について警告しましたが、消費者は依然として仕事用のメールとパスワードで消費者向けアプリやWebサイトへのログインを続けており、企業はリスト型攻撃の重大なリスクにさらされています。消費者ベースの企業やオンラインコミュニティの情報漏洩が増加していることから、企業のメールアドレスやパスワードはすでにダークウェブに公開されている可能性が非常に高いと考えられます。 企業情報、アプリケーション、またはネットワークにアクセスする者が合法的な存在であり、盗んだ認証情報が使用されないようにするために、あらゆる業種の企業がゼロトラストモデルを実装する必要があります。」
主要分野で不足している企業セキュリティ
今年になって、安全に不安のある未認可のセルフサービスIoTデバイスが、家庭や業務で攻撃の標的となるケースが多発しています。パンデミックの始まりの頃に比べれば状況は改善しているかもしれませんが、「消費者セキュリティサイバーレポート」は、2021年にはまだ、企業が取り組むべき次のような重要領域が残されていると指摘します。
- セキュアなアクセスツール:回答者の30%が、自身の所属組織ではVPNのような安全なアクセスツールの使用を義務付けていないとしています。
- セキュリティソフトウェア: 従業員の28%は、リモートワーク中に特定のアプリにアクセスする場合、指定のセキュリティソフトウェアをデバイスで実行するよう求められていないと答えました。
- パスワードの更新: 24%の企業は、6か月ごとにパスワードを更新したり、ワンタイムパスワードジェネレーターを使用したりすることを従業員に求めていません。
業務における消費者向けデバイス利用の急増は来年以降も続くと見られるため、企業が攻撃を受ける機会は拡大し続けることになるでしょう。こうしたIoTリスクを軽減するには、検出、認証、検証、および分離のゼロトラストフレームワークに基づく自動アクセスの実施が不可欠です。
第1回「消費者セキュリティサイバーレポート」の知見は、2020年11月にIvantiが実施した調査結果によるものです。 米国で働く18歳以上の社会人1,000人を代表的サンプルとして、調査はオンラインで行われました。
「2021年消費者セキュリティサイバーレポート」完全版はこちらからダウンロードできます。
Ivantiについて
Ivantiの自動化プラットフォームは、すべてのIT接続をあらゆるデバイス、インフラ、ユーザーでよりスマートかつセキュアにします。Ivantiは、PCやモバイルデバイスから仮想デスクトップインフラストラクチャやデータセンターに至るまで、場所にとらわれないEverywhere WorkplaceのクラウドからエッジまでIT資産を検出、管理、防御し、パーソナライズされたユーザー体験を従業員に提供します。場所にとらわれないEverywhere Workplaceでは、企業データはデバイスやサーバー間を自由に流れ、どこでどのように仕事をしていても、従業員の生産性を高めます。Ivantiは、米国ユタ州のソルトレイクシティに本社を置き、各国にオフィスを有します。 詳細については、www.ivanti.co.jpおよび@ GoIvantiをご参照ください。