危機意識の高い企業が陥る「セキュリティ疲れ」の症状とは？ ESETが対処法を解説：テレワーク拡大に伴う制限を見直す時期に

セキュリティ企業のESETは公式ブログで、サイバーセキュリティ対策が進んでいる企業などでその副作用として発生する場合がある「セキュリティ疲れ」の問題を解説した。

[＠IT]

　スロバキアのセキュリティ企業ESETは2022年11月22日（現地時間）に公式ブログで、サイバーセキュリティ対策が進んでいる企業などでその副作用として発生する場合がある「セキュリティ疲れ」の問題を取り上げ、その症状に加え、ITセキュリティ部門が対処する方法を解説した。

「セキュリティ疲れ」とは

　従業員は、企業のセキュリティチェーンにおける最も弱いリンクと考えられがちだ。多くのITセキュリティ部門は、多角的なセキュリティ対策の一環として、内部者の過失によるリスクの軽減に力を入れている。

　実際、セキュリティ企業のProofpointのグローバル調査によると、内部者に起因するインシデントが21〜40件以上発生した企業の割合は、2020年の60％から2021年には67％に増加した。2021年のインシデント対応コストは、前年比34％増の1540万ドルに達した。

　だが、従業員が仕事中に、さまざまなセキュリティの警告、ポリシールール、手順への対応に追われ、空き時間にも、脅威や侵害に関する多くのメディア記事などに接していると、疲弊した状態に陥ることがあるという。

　こうした「セキュリティ疲れ」は、無力感や投げやりな気分が特徴だ。従業員は、セキュリティを巡る状況全体にうんざりし、会社のポリシーから離れてうかつな行動を取るかもしれない。また「対策をしたところで侵害が起こるのは避けられない」という諦めから、セキュリティアラートを全て無視するようになるかもしれない。

セキュリティ疲れの主な症状

　ESETは、従業員がこうしたセキュリティ疲れのせいで、セキュリティに深刻な影響を与える次のような問題行動を取る場合があると指摘している。

• 興味本位でフィッシングメールのリンクをクリックしたり、添付ファイルを開いたりする
• 複数アカウントで弱い認証情報を再利用するなど、パスワード管理がずさんになる
• VPNを使わず、企業ネットワークにログインする（一部の企業では制限されている）
• 外出先などで、安全でない公衆Wi-Fiホットスポットを使用して、企業の機密アカウントにログインする
• デバイスやマシンへの定期的な更新プログラムの適用を怠る
• インシデントを上司やIT部門にすぐ報告しない
• 仕事用デバイスを私用に使う（インターネットダウンロード、ゲーム、オンラインショッピングなど、危険な行動を含む）
• セキュリティ対策をすり抜ける

セキュリティ疲れに対処するには

　新型コロナウイルス感染症（COVID-19）のパンデミック（世界的大流行）に伴い、2020年にテレワークへの移行が急速に進んだ。その結果として多くの企業のIT部門が、従業員にとって重荷となる新しいルールを課すことで、セキュリティリスクの抑制を図った。「パンデミックを経てハイブリッドワークへの移行が大きな潮流となる中、セキュリティ疲れのリスクを軽減するために、こうした制限を見直す機会が訪れている」とESETは述べ、以下を検討するよう推奨している。

• エンドユーザーの声に耳を傾け、セキュリティ対策がどのようにワークフローに影響を与え、生産性を低下させるかを把握する。従業員のニーズと、サイバーリスクを最小化する必要性のバランスが取れたポリシーを設計する
• ユーザーが行う必要のあるセキュリティ上の判断回数を抑える。そのための方策として、ソフトウェア更新プログラムの自動適用、セキュリティソフトウェアのリモートインストール、ノートPCやデバイスのリモート管理などがある。バックグラウンドで検知、応答サービスを実行し、ネットワーク防御を突破した脅威を捕捉し、封じ込めるという方策も考えられる
• パスワード管理ツール、生体認証ベースの二要素認証、シングルサインオン（SSO）などにより、エンドユーザーの労力を最小限に抑えながら、ログインのセキュリティを強化する
• ユーザーに送るセキュリティ関連メッセージの数を抑える（少ないほど良い）
• ユーザー行動の変化を目指すセキュリティ意識啓発トレーニングを、より楽しいものにする。実世界でのシミュレーションやゲーミフィケーションを利用した短いセッション（10〜15分）を取り入れる