リモートワーカーのサイバーセキュリティ慣行は企業規模と関連があると新しいデータが示唆

企業規模が大きいほど従業員による WiFi とパスワードのセキュリティガイドライン遵守に対する意識が低くなる

多くの場合、企業のセキュリティは企業データを日々取り扱う従業員に依存しています。Tenable の委託により Forrester Consulting が新たに実施したグローバル調査の結果によると、リモートで働く従業員による個人用デバイスの使用、セキュリティガイドラインの遵守、および会社のセキュリティに対する責任感は、勤務する企業規模によって異なることが明らかになりました。 

個人用のデバイスの業務利用

企業規模が大きいほど、リモート従業員がラップトップ、スマートフォン、タブレットなどの個人用デバイスを業務に使用する可能性は低くなります。従業員が 2 万人以上の企業では、業務に個人のラップトップまたはスマートフォンを使用していると回答したのは、リモート従業員の回答者の半数未満です。一方、中小企業の回答者の半数以上は、業務に個人用デバイスを使用していると回答しています。

出典:2020 年 4 月に Tenable の委託により、Forrester Consulting が実施した調査。回答者: 従業員数が 1,000〜4,999 (N = 261)、5,000〜19,999 (N = 157)、および 20,000 以上 (N = 61) の企業で、週に 3 日以上在宅勤務するフルタイムの従業員

個人デバイスで従業員がアクセスしている企業データの種類をさらに詳しく見ると、詳細な傾向が明らかになります。大企業（従業員 2万人以上）の従業員よりも、小企業の従業員の方が、顧客データ、財務記録、およびサードパーティの契約に個人デバイスでアクセスする可能性が高くなります。 

出典:2020 年 4 月に Tenable の委託により、Forrester Consulting が実施した調査。回答者:従業員数が 1,000〜4,999 (N = 261)、5,000〜19,999 (N = 157)、および 20,000 以上 (N = 61) の企業で、週に 3 日以上在宅勤務するフルタイムの従業員

ただし、企業規模に関係なく遍在する傾向は業務デバイスで個人的な目的で Web サイトにアクセスすることです。業務デバイスは、個人のソーシャルメディアアカウントやストリーミングサービスなどにアクセスするために使用されています。

出典:2020 年 4 月に Tenable の委託により、Forrester Consulting が実施した調査。回答者: 従業員数が 1,000〜4,999 (N = 261)、5,000〜19,999 (N = 157)、および 20,000 以上 (N = 61) の企業で、週に 3 日以上在宅勤務するフルタイムの従業員

企業セキュリティガイドラインの遵守

大企業 (従業員 2 万人以上の企業) の従業員は、小企業の従業員よりも、フリー WiFi の使用や強力なパスワードに関するベストプラクティスを厳密に遵守していないと回答しています。実際、従業員数が 2 万人以上の企業でフリー WiFi に関するガイダンスを厳密に遵守していると回答したのは回答者の 16％ だけで、パスワード設定のガイドラインを厳密に遵守していると回答した従業員はわずか 20％ です。これに対して、従業員が 1,000〜4,999 人の企業ではフリー WiFi に関するガイダンスを厳密に遵守していると回答した従業員は 21％、パスワード設定のガイドラインを厳密に遵守していると回答した従業員は 27％ です。 

出典:2020 年 4 月に Tenable の委託により、Forrester Consulting が実施した調査。回答者: 従業員数が 1,000〜4,999 (N = 261)、5,000〜19,999 (N = 157)、および 20,000 以上 (N = 61) の企業で、週に 3 日以上在宅勤務するフルタイムの従業員

ただし、デバイスの更新に関しては、すぐに更新すると回答した従業員は、従業員数が 2万人未満の企業と比較して大企業では多くなっています。上のグラフでは、大企業の従業員は、企業所有のデバイスを業務に使用する可能性が高いことが示されています。

出典:2020 年 4 月に Tenable の委託により、Forrester Consulting が実施した調査。回答者: 従業員数が 1,000〜4,999 (N = 261)、5,000〜19,999 (N = 157)、および 20,000 以上 (N = 61) の企業で、週に 3 日以上在宅勤務するフルタイムの従業員

企業のサイバーセキュリティガイドラインに対する認識に関しては、大企業の従業員は、中企業の従業員よりも、10% 高く、サイバーセキュリティポリシーを無視することがあると回答した従業員は大企業で最も低くなります。

出典:2020 年 4 月に Tenable の委託により、Forrester Consulting が実施した調査。回答者: 従業員数が 1,000〜4,999 (N = 261)、5,000〜19,999 (N = 157)、および 20,000 以上 (N = 61) の企業で、週に 3 日以上在宅勤務するフルタイムの従業員

企業セキュリティに対する個人的な責任感

中企業の従業員は、業務に使用するデバイスのセキュリティ保護に対する責任感は低いと回答しています。

出典:2020 年 4 月に Tenable の委託により、Forrester Consulting が実施した調査。回答者: 従業員数が 1,000〜4,999 (N = 261)、5,000〜19,999 (N = 157)、および 20,000 以上 (N = 61) の企業で、週に 3 日以上在宅勤務するフルタイムの従業員

企業情報のセキュリティに対する全体的な責任感は、企業規模が大きくなるほど低くなります。小企業の従業員は、取り扱う企業データのセキュリティ保護に関してある程度または強く責任感を感じています。従業員が 2 万人以上の大企業と比較すると、10% の差があります。私たちの見解では、大企業はより成熟したサイバーセキュリティ対策や統制を実施している傾向がありますが、中小企業では統制が少なく、従業員に不釣り合いに大きく依存している傾向があると考えられます。

出典:2020 年 4 月に Tenable の委託により、Forrester Consulting が実施した調査。回答者: 従業員数が 1,000〜4,999 (N = 261)、5,000〜19,999 (N = 157)、および 20,000 以上 (N = 61) の企業で、週に 3 日以上在宅勤務するフルタイムの従業員

まとめ

サイバーセキュリティ対策の効果を高めるために問題を認識することは、防御力を高めるための重要な第一歩です。企業のセキュリティ担当者は、企業規模がサイバーセキュリティに対する従業員の行動に影響を与えるということに留意する必要があります。また、Active Directory のセキュリティに特に注意する必要があります。さらに、最近のソフトウェアサプライチェーン攻撃を考えると、セキュリティ担当者は、サードパーティベンダー、特に定期的に連携しているベンダーを評価する際に、これらのリスクを検討する必要があります。詳細については、「境界を超える:新常識の世界でのサイバーセキュリティの将来」をご覧ください。

もっと詳しく

• ブログ　サイバーセキュリティ意識: サイバー攻撃から守るために従業員が行うべき 6 つの対策
• 調査報告書をダウンロードする　境界を超える: 新常識の世界でのサイバーセキュリティの将来
• オンデマンドでウェビナーを見る　新常識の世界からサイバーリーダシップが学んだこと:次に押し寄せてくるのは何だろう?