ポネモンインスティテュートが、アブソリュートのスポンサーによりノートPCのセキュリティに対する調査
「Human Factor in Laptop Encryption Study」を発表。
カナダの企業の367のITの専門家と、325の非IT企業経営者を対象に調査を実施した。
- IT専門家の方が、非IT企業経営者よりも多く暗号化を利用
企業でノートPCの暗号化導入の可否について、IT専門家の82%、非IT企業経営者の68%が導入していると回答。また、使用している暗号化ソリューションについて、IT専門家ではネットワーク又はゲートウェイ暗号化が69%と最も多く、次いでノートPCディスク全体の暗号化が45%、一方非IT企業経営者ではノートPCディスク全体の暗号化が35%と最も多く、次いで暗号化バックアップディバイスが32%となり、IT専門家が最も多く採用しているネットワーク又はゲートウェイ暗号化は30%にとどまった。
- IT専門家の92%、非IT企業企業の72%が、企業内の誰かがノートPCの盗難・紛失を経験
そのうちIT専門家の50%、非IT企業企業の33%がデータブリーチをもたらし、ノートPCが暗号化されていると証明できると回答したのはIT専門家は50%、非IT企業企業はわずか19%にとどまった。
- 非IT企業経営者の62%が暗号化があれば他のセキュリティは必要ない
暗号化がノートPCの情報を保護してくれることに同意するIT専門家は61%、非IT企業経営者は65%とあまり大差はないが、暗号化があれば他のセキュリティは必要ないと答えたIT専門家が44%なのに対し、
非IT企業経営者は62%と、大きな開きがある。また、暗号化がサイバー犯罪から守ってくれると考えるIT専門家は48%、非IT企業経営者は58%、ノートPCは暗号化されているので紛失しても心配ないという回答はIT専門家34%に対し非IT企業経営者は2倍以上の72%、ノートPCの紛失による情報へのアクセスの可能性は0%又は10%以下と回答したIT専門家は45%、非IT企業経営者は55%。さらにワイヤレスネットワーク上で重要情報にアクセスされる可能性についても0%又は10%以下と回答したIT専門家は28%なのに対し、非IT企業経営者は2倍以上の60%と、非IT企業経営者の方がIT専門家よりも暗号化の情報保護能力が高いと信じている割合が多い。
- 暗号化のパスワードの管理にもIT専門家と非IT企業経営者に大きな違い
暗号化のパスワードをどのようにして記憶しているかという質問に対し、自分のPCにプログラムされたキーを指紋認証かパスワード認証で自動に読み込むという回答が一番多いが、IT専門家は85%に対し、非IT企業経営者では45%と約半分で、非IT企業経営者の31%がポストイットなどにメモをしたり、他の人とキーをシェアする(21%)と回答し、パスワードの管理が手薄い傾向がある。
- 暗号化を解除したままにしたことがある非IT企業経営者もIT専門家の2倍
ノートPCの暗号化設定を解除したままにしたことがあるか聞いたところ、あると回答したIT専門家は25%に対し、非IT企業経営者は52%だった。そのうち、暗号化は企業のセキュリティポリシーではない企業はIT専門家では19%、非IT企業経営者では26%と、ここでも非IT企業経営者の方が機密情報の保護に対する危機感意識が薄いことがわかる。
- 非IT企業経営者のノートPCのセキュリティに対する姿勢の比較
下記は、質問に対する非IT企業経営者の「はい」と答えた割合。()内はIT専門家
40%が常に短時間でも立席してる場合に休止状態に設定する(96%)
40%がパスワードを他の人とシェアしない(90%)
39%が常にアンチウイルスやマルウェアソフトウェアを最新に保つ(96%)
34%が安全でないワイヤレスネットワークを使わない(90%)
19%が同じパスワードを使用しない(64%)
18%がノートPCを使用しないときに電源をきる(44%)
17%が知らない人にノートPCを見ててもらうように頼んでPCから離れたりしない(82%)
16%がパスワードを翌変更する(76%)
14%がPCを無人の場所や安全でない場所に置かない(86%)
9%がノートPCに不正アクセスを防ぐために複雑なパスワードやバイオメトリックを使う(80%)
4%がPCをホテルのセーフボックスにいれる(46%)
2%が詮索の目を妨げるためのプライバシーシールドを使い(55%)
2%が机上のPCのロックをいつもしている(44%)
- 機密情報の保護には企業のデータ保護に対する意識が重要
ノートPCの盗難・紛失による個人情報・機密情報のデータ紛失が企業にとって最も損益を与えるものであることから、個々がどのくらい注意深くPC内の情報保護を行っているかが重要であるが、非IT企業経営者は暗号化があれば大丈夫という思い込みの傾向が強く、簡単な安全策でさえ取っていない傾向がある。反対に、IT専門家は機密情報を含むノートPCを保護するために多くの安全策ステップをとり、暗号化も重要なセキュリティツールではあるが、盗難・紛失の際にはデータ保護は確証ではないと考え常に危機感を持っており、非IT企業経営者よりもPCセキュリティに注意深いことがわかる。情報保護に当たってはヒューマンファクターが鍵となり、どの企業においてもこのデータ保護に対する姿勢が重要な課題である。