セキュリティと利便性はトレードオフの関係にあるとは、よく言われる言葉ですが、経営層は利便性を重視しているという気になる調査データが発表されていました。
www.businesswire.com
この調査から、経営幹部は悪意のあるサイバー攻撃の標的になりやすいにも関わらず、組織内でモバイルセキュリティ規定の緩和を求める傾向が最も強い(74%)ことが明らかになりました。
「Trouble at the Top(問題はトップに)」は、ベネルクス、フランス、ドイツ、英国、米国の企業のIT意思決定者300人と、英国、米国の経営幹部50人を対象に実施した調査をまとめたものです。調査から、経営幹部層はモバイルセキュリティの規定に不満を感じており、セキュリティ規定の回避を頻繁に求めていることが分かりました。
(Businesswire記事より引用)
元ソース
キタきつねの所感
偉そうな事をいつも書いている気がしますが、自社の経営陣を慮ると、決して安心できない気がします。
CISOやCTO、CSO辺りがしっかりとしている所でなければ、多くの組織で「偉い人」からのセキュリティ(緩和)要請が忖度されて、脆弱な運用が認められてしまう可能性が十分にありそうです。
「偉い人」だからリスクも分かった上で例外申請をしてきているのだろう・・・と考えるのは少し危険かもしれません。調査データの詳細を見ると、セキュリティ視点で考えると、危ない橋を渡りたがる経営層の方が多い様です。
セキュリティがデバイスの使い勝手を制限していると62%が回答し、ITセキュリティは複雑すぎて理解できないと58%が主張しています。
企業幹部の76%は昨年、組織のセキュリティ規定(1つ以上)を迂回することを求めたことがあると認めました。そのうち、サポートされていないデバイスへのネットワークアクセスを求めた回答者は47%、多要素認証(MFA)の回避を求めた回答者は45%、サポートされていないアプリからの業務データへのアクセスを求めた回答者は37%でした。
(Businesswire記事より引用)
「ソンナコトハナイハズ・・・」と自社の経営層に微かな期待を込めてみても、部下であるIT意思決定者は経営層をもっとシビアな見方をしている事が分かります。
・経営幹部はフィッシング攻撃の標的になりやすいと、IT意思決定者の78%が述べ、経営幹部はそういう攻撃の罠に最も陥りやすいとも71%が回答しました。
・パスワードを忘れたり、再設定するのにサポートを必要としたりする可能性が最も高いのは経営幹部であると、IT意思決定者の72%が回答しました。
(Businesswire記事より引用)
正直、危険性しか感じません。
幸いなのは、このデータ対象が「ベネルクス、フランス、ドイツ、英国、米国の企業」だった事ではありますが、日本企業だからと言ってこの数字が良くなっているとは、弊社の偉い方を考えてみると・・・いや、止めよう、あまり思えません。
余談ですが、セキュリティ監査で以前に経験した事があるのが、経営層への特権ID付与の検出です。普段来ない担当役員の方に、ほぼフルアクセスに近い特権が付与されている事が検出されたのですが、結論から言えば「特権を削除」する事となりました。
その役員の方は信頼が出来たとしても、その特権IDが不正窃取された場合のリスクが大きいので、役員の方が来る際に特権を都度付与するという運用に変更しました。
このご時世、経営層の方にこそ「ゼロトラスト」が必要だと思います。
もし、それをバイパスするのであれば、利便性の高いFace ID、指紋認証といった直感的に取り扱える”技術”でその要望に応えていくか、予算が無いなら「IT教育」にウェイトを置いた方が良いのではないでしょうか。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴