「ユーザーのセキュリティ意識が十分なレベルではない。意識改革が必要だと考えている」(26才,ユーザー企業勤務のSE)――。日経システム構築が実施中の,「企業内のクライアントPCのセキュリティ意識に関する調査」(調査の概要閲覧および回答はこちらのページから)にご回答をいただいた方の声である。

 セキュリティ意識が低いユーザーが一人でもいると,社内ネットワークに大きな被害をもたらす恐れがある。その典型例がウイルスである。最近出現しているウイルスの感染力は強い。社内のパソコンが1台ウイルスに感染しただけで,あっという間に社内全体に被害が広がる。2003年に出現した「Blaster」や「Welchi」により,社内ネットワークがまひした企業は少なくない。

 社内ネットワークを守るには,ユーザー一人ひとりのセキュリティ意識が重要である。どんなに高価なセキュリティ製品を導入しても,どんなに分厚いセキュリティ・ポリシーを作成しても,ユーザーの意識が伴わなければ効果は薄い。

 実態はどうなのだろうか。企業において,ユーザー一人ひとりのセキュリティ意識は十分高いのだろうか。それとも,まだまだ低いのだろうか。低いならば,どうすれば改善できるのだろうか,改善を阻むものは何なのか――。これらを明らかにすべく実施しているのが今回の調査である。

 現時点までの回答を見ると,冒頭で紹介したような,ユーザーの意識不足を心配するコメントが多い。BlasterやWelchiがあれほど大騒ぎになったにもかかわらず,依然ユーザーのセキュリティ意識は低いようだ。以下では,今回の調査で,現時点までにいただいたコメントをいくつか紹介したい(表現は原文の意図を損なわない範囲で一部編集してあります)。

改善されないユーザーのセキュリティ意識

 「ウイルス対策ソフトのパターン・ファイルを最新の状態にする」「Windows Updateを実施するなどしてパッチを適用する」といった,パソコンのセキュリティ対策方法をユーザーに告知している企業は多いだろう。それにもかかわらず,ウイルス被害は後を絶たない。「セキュリティに対するユーザーの意識不足」が原因だと考えるコメントは多かった。

 ある管理者からは次のような悩みが寄せられている。

 「ウイルス感染の脅威に関しての危機意識が十分でない社員が多い。社員にウイルス・チェックを実施するよう連絡し,結果を報告するように求めても返事すら返ってこない。ウイルス感染の有無をチェックしたのかどうか不明なことがよくある」(28才,ユーザー企業勤務)

 管理者がいくら熱心に呼びかけても,意識不足のユーザーには全く効果がないようだ。このようなユーザーが原因でウイルスがまん延するようなことになれば,管理者が対応しなければならなくなる。管理者の責任を問われる可能性もある。意識不足のユーザーに悩まされている管理者は少なくないはずだ。

 管理者やセキュリティ意識があるユーザーからすれば,「個人のちょっとした意識の持ち方で,セキュリティ関係のトラブルはかなり解消されると考えている」(37才,企画・マーケティング)というのが正直なところだろう。

 ほかに「パソコンの持ち込み」に関する悩みが目についた。これも,ユーザーの意識不足が原因だ。BlasterやWelchiで見られたように,ファイアウオールなどを使ってインターネットと社内ネットワーク間のセキュリティをいくら強化しても,「個人が持ち込んだノート・パソコンからウイルスに感染してしまう」(29才,プログラマ)。

 では,どうすればユーザーの意識を改善できるだろうか。一朝一夕には改善できない。企業のセキュリティ・ポリシーをきちんと規定した上で,「啓もうによるユーザーのリテラシ向上,セキュリティ監査,というように継続的な改善が必要」(44才,SI企業勤務)だ。

 とはいえ,セキュリティ・ポリシーの規定や継続的な改善にはコストがかかる。全社的に取り組む必要がある。経営層の認識が不足していると実施することは困難だ。

 「セキュリティに関する対策の重要性は認識しているが,経営層のセキュリティに対する認識が甘く,投資の予算化が困難」(42才,企画・マーケティング)

みなさんの状況はどうですか?

 このように,セキュリティ意識が低いユーザー(経営層)に頭を抱えている方はあいかわらず多いようだ。日経システム構築では,今回のアンケート調査を通じて,ユーザーのセキュリティ意識や,企業のセキュリティに対する取り組みを明らかにしたいと考えている。ウイルス対策ソフトの使用の有無や,パッチ適用の有無にとどまらず,「セキュリティ・ポリシーが規定されているか」「パッチは誰が当てているか」「HTMLメールは利用しているか」などを調査している。

 調査は来週まで実施している。本記事を読んだ方も,アンケートにご回答いただければ幸いである(ご回答はこちらのページから)。結果は,日経システム構築3月号で記事にまとめる。このIT Proサイトでも報告させていただく予定だ。

 最後に,調査にご協力くださった皆さまには改めてお礼を申し上げます。

(吉田 晃=日経システム構築)