2021 年 10 月 8 日 Trevor Collins 著

Untangle が中小企業 700 社を対象に調査を行った最近のレポートにより、サイバーセキュリティの予算と意識が高まっていることが分かりました。いまだに従業員がリモートで仕事をしている企業もありますが、回答者の約半分はオフィスに戻ってきているか、少なくとも何らかの形でリモートと出社が混在する仕事環境になっていると答えています。ほとんどの企業 (64％) は、セキュリティ上最大の懸念は不正アクセスであると考えており、自社のセキュリティ態勢を強化するための対策を講じています。回答者の 80％ は、昨今サイバー攻撃は増加しているものの、今年は昨年よりも安全だと考えています。侵害やその他の攻撃から身を守るために、中小企業はファイアウォールとウイルス / マルウェア対策を最も重要なセキュリティソリューションと考えています。確かにこれらのソリューションは第一の防御策となりますが、それに加え、ユーザのセキュリティ意識の向上とトレーニングも最重要課題であるとウォッチガードは考えます。

本レポートでは、中小企業が IT セキュリティを確保する上で課題となっているポイントを紹介しています。その最大の課題は、従業員がルールに従わないことです。ユーザは、自分の行動がセキュリティ侵害を引き起こす可能性があると認識しておらず、場合によってはセキュリティ侵害につながることなどあり得ない、と思い込んでいる場合もあります。最近発生した 2 件の不正アクセス事件 (T-Mobile と Twitch) はサーバの設定ミスが原因でしたが、これは適切なトレーニングとチェックによって回避できたはずです。設定を誤ったユーザにも責任はありますが、企業の文化として、セキュリティを優先していないことも珍しくありません。IT 管理者や企業の CEO がベストプラクティスに従うことを怠り、VPN アクセスに例外を設けている場合も散見します。上の立場の人々がベストプラクティスにしっかりと従うことで、企業内にセキュリティ文化が醸成されやすい、ということもわかっています。

サイバー攻撃防御の第一段階として、UTM ファイアウォール、ウイルス対策、EDR、ソフトウェアのアップデートは、当然今後も有効です。しかし、ユーザにはトレーニングが必要であり、また適切なセキュリティ文化があれば、ゼロデイエクスプロイトやその他の攻撃から中小企業を守ることができるでしょう。