こんにちは、カスペルスキーのコンシューマ テクニカル エヴァンゲリストの保科貴大(ほしな たかひろ)です。
当社はセキュリティ意識に関するインターネット調査※1を日本国内で行いましたが、興味深い結果となったのでご紹介します。
調査の結果では、セキュリティ製品利用者の73.8%が、自分自身でセキュリティ対策を実施する必要性を意識していることが分かりました。セキュリティ製品を利用し、かつ自分でも対策の必要性を意識している、そんな「とてもしっかりセキュリティ対策を意識している人」が7割以上もいらっしゃることは、とても嬉しい状況です。では、セキュリティ対策意識が高くても、行動が伴っていないとどうなるのでしょうか。そんな疑問を解決するために、セキュリティ対策意識と行動について分析しました。
その結果、しっかり意識している人でも、行動の有無で大きな差が生じることが明らかになりました。私たちの日常には、必要性を理解しながらも、つい手を付けずに放置してしまう場面があります(片付けや整理などが代表的でしょうか?)。しかしサイバー攻撃の場合、行動しないでいる状況こそが「脆弱性」となり、サイバー攻撃の標的として狙われる可能性にもつながるのです。
それでは詳しく見ていきましょう。
前提:比較グループ
最初に、セキュリティ製品利用者で「インターネット利用には、自分で安全対策する必要性を感じている」に「とてもあてはまる」と回答した約25%に注目してください。この人たちは、「とてもしっかりセキュリティ対策を意識している人たち」です。この意識の高い人たちを、今度は本当に行動できているのかどうか「行動レベル」という観点で分割してみましょう。
まず「安全対策を実際に実施している」に、「とてもあてはまる」と回答した人を「意識高く行動もしている」グループとします。それ以外を「意識だけ高い」グループとし、2つのグループ、実際に行動する人たちと、行動はしていないグループ(意識だけ高い)に分けて比較していきましょう。
比較結果
先ほど定義した2つのグループを比較すると、セキュリティ対策意識が高く行動が伴っているグループでは、知識、普段のインターネット利用、実際の対策のすべてで、良い結果が出ています。
1.セキュリティ関連知識
意識高く行動もしているグループは、意識だけ高いグループに比べ、セキュリティに関するトピックスについて「詳しく知っている」と回答した割合が全ての設問で高い結果が出ており、より詳しく理解していることが分かります。
特に認識の差が大きいのは、「VPN(6.8倍)」、「ランサムウェア(5.1倍)」、「Wi-Fi利用時の盗み見リスク(2.7倍)」で、昨今話題になっている項目で差が開いています。
また、意識高く行動もしているグループの74%が「ソフトウェア等の未更新によるウイルス感染リスク」について詳しく知っていると回答しており、意識だけ高いグループとの差は2倍以上でした。
図1:各セキュリティに関するトピックスに対して「詳しく知っている」と回答した人の割合
(回答者数:意識高く行動もしている:35人、意識だけ高い:91人。全体(セキュリティ製品利用者):520人。数値は「詳しく知っている」と回答した人の割合)
2.インターネット利用時に気を付けていること
普段のインターネット利用時に気を付けていることでも、2つのグループ間で差が見られました。
「通信の暗号化」に関する質問「通信が暗号化されていないサイトでは、自分の情報(名前、メールアドレスなど)を入力しない」では、2.5倍以上も差が出ています(意識高く行動もしているグループは60%、意識だけ高いグループは24%)。
脆弱性対策に関しても、「OS、ブラウザー、その他のソフト・アプリを定期的に更新している」では、1.6倍の差がでています(意識高く行動もしているグループ71%、意識だけ高いグループは45%)。
2つのグループで差がみられるものの、ほぼすべての項目で両グループとも平均よりも上回っています。さすがの結果です。
図2:インターネット利用時に気を付けていること
(回答者数:意識高く行動もしている:35人、意識だけ高い:91人。全体(セキュリティ製品利用者):520人)
3.実際の対策
実際の対策についても見てみましょう。バックアップに関する質問「普段使っているPCに保存してあるデータを他の場所にバックアップ(コピー保存)していますか」では、意識高く行動もしているグループは91%、意識だけ高いグループは57%で、1.6倍の差が出ています。利用端末がスマートフォンの場合でも同様の傾向が見られました。
OSやソフトウェアのアップデートについて「必要なことなのですぐに更新する」に「あてはまる」と答えた割合は、意識高く行動もしているグループは80%、意識だけ高いグループは43%と約2倍の差でした。
セキュリティ意識高く行動している人は、バックアップや脆弱性対策など、基本的なセキュリティ対策を実行している割合が高い傾向です。
図3:OSやソフトのアップデートや更新を「すぐに更新する」と回答した人の割合
(回答者数:意識高く行動もしている:35人、意識だけ高い:91人。全体(セキュリティ製品利用者):520人。数字は「必要なことなので、すぐ更新を行っている」を選択した人の割合)
このように、「とてもしっかりセキュリティ対策を意識している人」でも、行動の有無で大きな差が生じています。冒頭でも申し上げましたが、サイバー攻撃の場合、ぐずぐずと行動していない状況こそが「脆弱性」となり、サイバー攻撃の標的として狙われる可能性にもつながります。
安心してインターネットを利用できる環境を整えるためにも、まずはアップデートを常に行う、など簡単なことから行動してみてはいかがでしょうか。
カスペルスキーからの推奨事項:
昨年話題になったWannaCryの攻撃は、「既知の脆弱性」が悪用されました。つまりOSやソフトウェアのアップデートについて「必要なことなのですぐに更新する」ということは現在のセキュリティ対策の基本とも言えます。アップデートしないでいると、ソフトウェアには悪用可能な「穴」が開いたままになります。アップデート通知を無視しないでください。アップデートのインストールを習慣化にすることにより安全になります。
新学期や新年度に備えて、セキュリティのヒントとなる記事もぜひご参照ください。
・セキュリティを脅かす9つの「何となく」
https://blog.kaspersky.co.jp/nine-bad-online-habits/18730/
・新年の抱負:ネットでのセキュリティ習慣を12か月で身に付けよう
https://blog.kaspersky.co.jp/12-security-rules-for-2016/9973/
—
※1 出典:株式会社カスペルスキーが、日本国内の18歳から69歳のインターネット利用者623人を対象に実施した「セキュリティ意識」に関するインターネット調査。調査期間は2017年8月29日~30日。調査委託先は株式会社マクロミル。