4分の1の企業が自社セキュリティポリシーはBYODに全く未対応、ISACA第4回リスク意識調査（CA Security Reminder）

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA TechnologiesのRobert Stroudが、IT専門家の国際団体が実施した調査結果をもとに、BYODに関するリスク意識の国別の違いと、そのコントロールを考える。

--脅威を感じたら、対策を講じますよね？

こう聞かれたら、ほとんどの人は「はい」と答えるでしょう。しかし、これがプライバシへの脅威となると、必ずしも「はい、脅威を軽減するために対策を講じます」という答えは返ってこないのです。

ある調査によれば、仕事でコンピュータ、タブレットPC、スマートフォンのいずれかを使っている米国消費者の90%は、自分のオンライン・プライバシが脅威にさらされていると感じています。それでも、多くの人がプライバシとセキュリティを危険にさらす行為や振る舞いを続けているのです。

これは、ISACAの第4回IT Risk/Reward Barometer調査から分かったことです。ISACAが毎年実施している本調査では、個人の端末を業務に持ち込むBYOD (bring your own device) やモバイル・セキュリティに関する最新の認識やビジネス上の対応、クラウド・コンピューティング、リスク管理についての調査が行われます。

今回の調査には、アフリカ、アジア、ヨーロッパ、ラテンアメリカ、北米、オセアニアから4,500人を越えるISACAメンバが参加しました。

BYODについては、オセアニアおよびアフリカの企業は、他地域より強い許容傾向を示しています。個人端末を自由に使わせていると回答したヨーロッパ企業は28%ですが、オセアニア企業ではその割合が50%近くにもなります。ただ、オーストラリアで生まれ育った私にとって、この結果は驚くにあたりません。オーストラリア人は、そもそも革新的なのですから。

調査対象となった各地域のIT担当者からは、BYODはメリットよりリスクの方が大きいという声があがっています。それでも、BYDOを採用する動きは続いています。そして、何より奇妙に思われるのは、4分の1あまりの企業が自社のセキュリティ・ポリシはBYODにまったく対応していないと回答している点です (ポリシを改訂する必要があると思います)。

すでに述べたとおり、仕事でコンピュータ、タブレットPC、スマートフォンのいずれかを使っている米国消費者の圧倒的多数は、オンライン・プライバシが脅威にさらされていると感じています。しかし、多くの人がプライバシとセキュリティを危険にさらす行為や振る舞いを続けているのです。危険 (データ漏えい、ウィルス、マルウェア) を認識してはいるのですが、モバイル・ワーキングや使い慣れた端末といったBYODのメリットには勝てないのです。それは私にも理解できます。

BYOD のリスクが特に問題となるのは、これから年末年始に向けた休暇シーズンです。今回の回答者は、仕事にも使う個人端末を使って平均12時間 (会社支給端末では13時間) オンライン・ショッピングをすると言っています。ショッピング回数が増えれば、共有される情報も増えてゆきます。共有情報が増えれば、問題の影響を受けやすくなります。

ISACAのアドバイザでありIP Architects LLC社長であるJohn Pironti 氏は、「オンラインで私的な情報を共有すれば、ソーシャル・エンジニアリング攻撃の犠牲になる可能性は高くなります。データ集約は、ハッカーや悪意のある人物による侵入に対するハードルを低くしてしまうのです」と言います。

残念なことに、リスクは増大しています。回答者の半数以上 (53%) が、この1年でオンラインでの情報共有リスクが高まったと感じています。私も同感です。この1年間に報告された事例を見れば、脅威の増大を認識せずにはいられません。

ISACAのIT Risk/Reward Barometer調査によれば…

•回答者の65%がオンライン・ショッピング・サイトのセキュリティ設定を確認しない。
•36%が仕事で使用する端末からソーシャルメディアのサイトにあるリンクをクリックしたことがある。
•19%が、個人的なオンライン・ショッピングや業務に無関係な目的のために、会社のメールアドレスを使ったことがある。
•12%が仕事で使用するパスワードを個人端末に保存している。
•11%がDropboxやGoogle Docsといったクラウド・サービスを会社に知らせずに使用している。

上記の項目すべてにリスクがつきまとうのですが、それでも会社支給や個人所有の端末でこうした行為を続ける人が非常に多いのが実情です。

(回答者の37%程度が、この休暇シーズンの就業時間中に、勤務日にして2日相当の時間をかけてオンライン・ショッピングをすると答えていますが、もちろん私はそんなことはしません。とは言え、私も1つの端末を仕事と個人的目的の両方に使うことはあります。)

私達の生活において多々見られるように、信条と実際の行動は必ずしも一致しません。それが人間というものです。オンラインのプライバシやセキュリティがかなり心配されているにも関わらず、私達の多くはオンラインのメリットや利便性を手放したくないのです。こうした行為が会社のIT部門からハイリスクだとされても、それは変わりません。

では、どうすれば良いのでしょうか？教育やセキュリティ意識向上のためのトレーニングで改善してゆくことは可能です。そして当然ながら、新しいやり方やテクノロジの採用を怖がってはいけません。BYOD はなくなりませんし、私達がBYODに慣れるに従ってそのメリットは拡大してゆくでしょう。(インターネットにはリスクがありますが、それでもこれだけ利用されています。)

私は、ISACAの「採用と教育」というアプローチに賛成です。利用可能なテクノロジを採用し、その価値を享受すべきだと思います。しかし、私達自身、お客様、同僚、社員を対象としたリスク教育を実施し、会社のポリシについて認識と準拠を徹底することを怠ってはなりません。

あと数週間で新年を迎えますが、脅威への対策は「新年の抱負」として年明けを待つことなく、すぐに取り組みを開始すべきだと思います。

* 2012 ISACA IT Risk/Reward Barometer調査の全結果をこちらからダウンロードし、皆さんの認識や会社のポリシと比較してみてください。
（Robert Stroud）

筆者略歴：CA Technologiesバイス・プレジデント。サービス・マネジメント、クラウド・コンピューティングおよびガバナンスのエバンジェリストを務める。現在ISACA国際本部副会長。