ITpro Special
週間WEEKLY ITpro Special ITpro

生体認証で変わるIT利活用 |調査から浮かび上がる業務PCのセキュリティ対策の実態 半数以上が対策できていない「ID/パスワード認証」の課題とは?

調査から浮かび上がる業務PCのセキュリティ対策の実態 半数以上が対策できていない「ID/パスワード認証」の課題とは? -「業務PC/タブレットセキュリティ対策診断」で自社の対策レベルもチェック-

企業におけるセキュリティ対策は力の入れ方が難しい。セキュリティ事故が万が一発生した場合、経営に大きな影響を与える可能性があるが、潜在的なリスクを挙げればきりがなく、投資対効果を把握しにくいからだ。多忙な情報システム担当者にとっては、「いたちごっこ」的な対策に手間を取られ、どのレベルまで対処すべきなのか判断に迷うところだ。そうした時は、自社の対策を一度客観的に振り返ってみてはどうだろうか。日経BPコンサルティングが2015年2月に実施した調査結果を解説しながら、業務PCを中心としたセキュリティ対策をより良くするための方法を探る。貴社の状況を調査の平均と比較分析できる診断サイトも用意したので、ぜひ活用してほしい。

調査結果を読む前に診断したい人はこちら

セキュリティ対策の重要性と経営ダメージは共通認識

企業などの情報システム担当者を対象として、日経BPコンサルティングが2015年2月に実施した調査から、セキュリティ対策の実態が浮かび上がった。

まず、セキュリティ対策の重要性は、勤務先が被害を受けた場合のダメージに関する結果から明らかだ。セキュリティ被害を受けたり業務上の情報が社外に漏えいしたりした場合、経営やブランドが受けるダメージは、回答者の約半数(49.3%)が「非常に大きい」とし、「どちらかと言えば大きい」を含めると8割を超えた(図1)。

経営やブランドに対するダメージは、企業規模が拡大するほど大きくなる。ただし、中堅中小企業にとっても他人事というわけではない。従業員500人未満の企業で7割が「大きい」と考えている。

業務PCのセキュリティ対策の重要性は、その程度を5段階で直接聞いた結果からも確認できた。最も高い「非常に重要」が実に72.0%に上ったのだ(図2)。対して、その重要性を否定する回答者は皆無に近かった。

企業にとって重要なテーマであるセキュリティ対策は、運用負荷の面でも情報システム担当者にとって片手間で済む話ではない。業務PCのセキュリティ対策にかかる運用管理の負荷を尋ねたところ、「非常に大きい」こそ13.2%だったものの、「どちらと言えば大きい」を合わせると65.1%に上った。3分の2の企業が負担に感じている状況だ。

図1:セキュリティ被害や情報漏えいで勤務先の経営やブランドが受けるダメージ
非常に大きい49.3%、どちらかと言えば大きい33.1%、どちらとも言えない
12.0%、どちらかと言えば大きくない5.1%、まったく大きくない0.6%
N=493
図2:勤務先における業務PCのセキュリティ対策の重要性
非常に重要である72.0%、どちらかと言えば重要である23.9%、どちらとも言えない 3.7%、どちらかと言えば重要ではない0.4%、まったく重要ではない0.0%
N=493
ここで診断してみたい人はこちら

リスクや負担を感じながらも十分とは言えない「パスワード認証」対策

業務PCを使う際の本人認証は、IDとパスワードによる方法が最も多いことは間違いないだろう。そこで、OSや業務システムへのログイン時のID/パスワード認証のリスクが勤務先にあるかどうかを尋ねたところ、「とてもリスクがある」と「ややリスクがある」を合わせて64.1%に上った(図3)。IDとパスワード認証のリスクは半数以上が認識している。さらに、パスワード認証が原因となってセキュリティ上の問題(インシデント)が発生したことがあるとした回答者も36.5%存在した。

だが、その対策は十分とは言えない。PCのIDやパスワードについて、使い回しやなりすましへの対策ができているかどうかを尋ねると、「できていない」という回答者が63.3%になった(図4)。「十分できている」は6.7%に過ぎない。

この結果は、業務PCのセキュリティ対策における複雑さも表している。今回の調査では、「業務PCのセキュリティ対策がどの程度できているか」について、全体としての自己評価を5段階で尋ねてみた。その結果によれば、最高評価である「ほぼ完全にできている」が13.2%で、2番目の「どちらかと言えば対策できている」が68.0%に上った。情報システム担当者は、セキュリティ対策は全体として概ねできていると考えているようだ。

しかし、パスワード認証が原因の「使い回しやなりすましへの対策」として具体的な状況を聞くと、十分ではなく、セキュリティ対策の一番の「入口」である「認証セキュリティ」の対策がおざなりになっている実態が浮かび上がる。

IDとパスワードによる認証は、使い回しやなりすましにとどまらず、不正アクセスの温床となったり、パスワードを忘れてしまった場合の確認作業や再発行の手間と言った利便性の低下ももたらす。

図3:ID/パスワード認証に対する勤務先のリスク意識
とてもリスクがある9.1%、ややリスクがある55.0%、あまりリスクはない34.1%、まったくリスクはない1.8%
N=493
図4:ID/パスワードの使い回しやなりすまし対策の状況
十分できている6.7%、かなりできている30.0%、あまりできていない47.9%、まったくできていない15.4%、十分できている6.7%
N=493

今後の広がりが期待される「生体認証」

パスワード認証が抱える課題を解決する有力な手法が、「生体認証」である。

今回の調査によると、業務PCのセキュリティ対策で生体認証を利用しているのは26.4%だった(図5)。ただ、目立つのは「一部のPCに対して」という回答(全体の21.3%)で、今回尋ねた13項目のセキュリティ対策のうち、生体認証の実施率の順位は10番目(下から4番目)だった。

しかし、「今後利用したい、あるいは強化したいセキュリティ対策」とすると、生体認証は、13項目中5番目(15.6%)に上昇した。さらに別の設問で、「IDとパスワードによる認証のセキュリティリスクを減らすために今後、実施・強化したい対策は」として尋ねると、生体認証を選んだ回答者は23.3%に増加した。現時点では生体認証の導入率は高くないものの、注目率は高く、今後、導入が一層拡大していく可能性が高いといえるだろう。

情報システム担当者への調査を通じて、業務PCのセキュリティ対策の実態が浮き彫りになってきたが、自社の対策状況も把握できるように、簡単にできる「業務PC/タブレットセキュリティ対策診断」サイトをオープンした。今回の調査と同じ質問に答えていくことで、自社のセキュリティ対策の必要度や、それに対する対策度を把握し、調査結果の平均と比較できる。今後の業務PC/タブレットのセキュリティ対策の向上、最適化のための指針として、以下のリンク先からぜひ試してみてほしい。

図5:業務PCのセキュリティ対策の実施状況
ウィルス対策ソフトの利用(現在何らか実施/利用=98.6%、今後利用や強化=11.2%)など
※「現在何らか実施/利用」:勤務先の業務PCの一部以上に対して実施している比率
N=493
業務PC/タブレットセキュリティ対策診断はこちら
お問い合わせ
  • 富士通株式会社


    URL http://www.fmworld.net/biz/security_lab/
    富士通パートナーおよび富士通担当営業とお取引があるお客様は直接担当者へお問い合わせください。
    電話でも、手のひら静脈認証ソリューションを搭載したタブレットのご注文・ご相談を承りますので、下記窓口までご連絡ください。
    富士通購入相談窓口
    0120-996-186
    受付時間 平日9時~19時