| IT責任者 2016年5月24日


2016年5月24日

Lookout、日本企業のスマートフォン利用動向、 モバイル機器業務利用に付随するリスクの実態調査結果を発表

By Lookout

モバイルセキュリティ分野の世界的大手であるLookout(本社:米国カリフォルニア州、CEO:ジム・ドルチェ、日本法人:ルックアウト・ジャパン株式会社、執行役社長:大須賀雅憲)は、日本企業で働く20歳以上の男女1,000名を対象とした企業におけるスマートフォン利用動向調査結果を発表しました。この調査結果を通じて、Lookoutは日本企業における会社支給および個人所有のスマートフォンの利用状況および業況、会社支給端末、個人端末を含めた問題傾向について解説いたします。
Lookoutは企業、個人に関わらずモバイルセキュリティを提供するサイバーセキュリティ企業です。スマートフォンやタブレットが主なコンピューティング機器になるに連れて、これらのモバイル機器を使用して企業の機密情報や個人情報にアクセスする機会は増加の一途を辿っています。これは同時に悪意を持ったハッカーがモバイル機器をターゲットにしていくことを意味します。Lookoutは、数千万の個人、大手企業、政府機関をこれらの脅威から守っています。
今回の調査結果を見ると、企業でのスマートフォン業務利用導入率は40%を超え、企業の規模に関わらず、業務で利用するスマートフォンが個人所有の端末であると回答した従業員が6割に達するなど、企業における個人所有端末利用が普及している事実が明らかになった他、社員の9割以上が会社にとってモバイルセキュリティが重要であると回答している一方で、30%以上がモバイル端末利用に関する会社のルールをよく把握していない、12.4%がルールを破ったことがあると回答するなど、一定のリスクがあることが判明しました。
具体的なリスクとしては、危険を認識した上で会社支給端末をジェイルブレイク、ルート化する従業員が一定数おり(5.3%)、LINE等のSNSを使用して機密情報をやり取りする従業員が2割を超える他、実際にマルウェアによる被害を受けた企業が少ないながらも存在することも明るみに出ました。結果の詳細は以下の通りです。 Screen Shot 2016-05-24 at 10.06.16 AM【事前調査】
Lookoutはまず、日本企業へ勤める20,000人に対してスマートフォンの普及率の調査を実施し、約43%がスマートフォンを業務で利用していることが判明しました。
Lookoutは、このスマートフォンを業務で利用すると回答した43%の内、年齢、男女比を均等に1,000名を抽出し、利用動向の調査を実施しました。
【調査結果一覧】
企業でのスマートフォン利用の全体像
― 大手企業を中心に普及するiOS
50%以上の従業員がiOSを使用
  ― 予想外に多い危険行為
4.8%が業務用スマホでジェイルブレイク、ルート化を実施。
8.1%が業務用スマホでサイドローディング(非正規ルートでのアプリのインストール)経験あり。
20代男性社員の4人に1人が業務用スマホで不審なアダルトサイトへアクセス経験あり。
― 万全とは言い切れない社内セキュリティ教育
調査の結果、社員のうち90%以上が自社にとってモバイルセキュリティは重要であると認識している一方、約30%以上が自社のセキュリティポリシーを十分に把握していないことが判明。また、12.4%が社内のスマホ利用に関するルールを破ったことがあると回答。
― セキュリティ対策の初歩、パスワード設定にも不備
6人に1人が業務用スマホにパスワードを設定していないと回答。
7.3%が実際に業務用スマホを紛失した経験あり。  
― 予想外に多いLINEの使用状況
5人に1人がLINEで機密事項に関するやり取りを実施していると回答。
50%以上が日常的な業務のやり取りにLINEを使用。
会社支給端末の利用状況実態
― IT管理者の監視をすり抜ける会社支給端末のセキュリティ状況
5.3%が会社支給端末をジェイルブレイク、ルート化。
9.1%が会社支給端末でサイドローディング(非正規ルートでのアプリのインストール)。
私的端末の利用状況実態
― 予想外に多い私的端末の利用状況
約6割が自身のスマホを業務で使用していると回答。
22.3%がパスワードを設定していないと回答。
大手企業の43%以上も私的端末を利用。
私的端末の業務利用方法は多岐に渡り、企業ネットワークに接続するなど危険な状況も。
【調査概要】
  • 調査タイトル スマホ利用オフィスワーカーに関する調査
  • 調査対象 マクロミルのモニタ会員を母集団とする20歳以上のスマートフォンを業務で利用する方(20代、30代、40代、50代以上の男女 各125名)
  • 調査期間 2016年4月
  • 調査方法 インターネット調査
  • 調査地域 東京都、神奈川県、千葉県、埼玉県
  • 有効回答数 1000サンプル
  • 実施機関 Lookout株式会社(マクロミルモニタ利用)
企業のスマートフォン利用の全体像
― 大手企業を中心に普及するiOS
業務で主にしようされるスマートフォンのOSは全体的にiOSが50%以上を占め、1,000人以上の従業員を擁する大企業では58.4%がiOSを利用、36.6%がAndroidを利用していることが明らかとなりました。 Screen Shot 2016-05-24 at 10.07.38 AM ― 予想外に多い危険行為
驚くべきことに、4.8%が業務用スマートフォンをジェイルブレイクしたり、ルート化した経験があると回答しています。ジェイルブレイクやルート化を行った端末は、通常では実行できないシステムアプリケーションや設定を改変することが可能となり、アプリのサイドローディングを容易に許可してしまうだけでなく、マルウェアがインストールされた場合は、マルウェアによるより危険な行為を許可してしまうことにつながり、セキュリティが大きく侵害されます。 Screen Shot 2016-05-24 at 10.08.19 AM その他、8.1%が業務用スマートフォンで正規アプリストア以外からアプリをダウンロードした経験があると回答しています。非正規のアプリストア、サイトからアプリをダウンロードすることは、マルウェアが潜んでいる可能性があり、非常に危険です。実際に全体の0.5%が社内でマルウェア感染が発覚したと回答しています。一見非常に小さい数値ですが、10,000人の従業員を抱える企業の場合、約50名がマルウェアに感染している可能性があるということです。また、ハッカーは一つの端末をコントロールして複数の端末に影響を与えることもできます。 Screen Shot 2016-05-24 at 10.08.54 AM さらに、全体の約2割が業務で使用するスマートフォンにて、不審なウェブサイト、ポルノサイトへアクセスしたことがあると回答し、20代男性社員の約4人に1人、40代男性の5人に1人が業務用スマホで不審なアダルトサイトへアクセス経験があることが判明しました。 Screen Shot 2016-05-24 at 10.09.19 AM ― 万全とは言い切れない社内セキュリティ教育
全体の90%がセキュリティポリシー(セキュリティ対策について、総合的・体系的かつ具体的にとりまとめたもの)を重要なものと認識している一方で、お勤めの会社のセキュリティポリシーについてあまり知らない、ポリシーがあるかどうかわからない、元々ないと回答した方は30%以上に上りました。 Screen Shot 2016-05-24 at 10.09.54 AM 加えて、12.4%セキュリティポリシーを破ってしまった経験があると回答しています。 Screen Shot 2016-05-24 at 10.10.19 AM ― セキュリティ対策の初歩、パスワード設定にも不備
パスワードロックについて質問したところ、6人に1人が業務用スマートフォンにパスワードを設定していないことが判明しました。その他、5.6%が1234、0000といった単純なパスワードを使用し、3.4%が自分の誕生日をパスワードに設定している事実も明らかになりました。 Screen Shot 2016-05-24 at 10.10.46 AM 加えて、7.3%が実際に業務用スマホを紛失した経験あることも判明し、企業で利用する端末のセキュリティの重要性が強調される結果となりました。また、私的端末を業務利用し、スマートフォンを紛失、その際に会社へ報告しなかったと回答された方は全体の2%に上りました。パスワードを設定していない従業員が端末を紛失してしまうと、重大な機密情報が漏洩する可能性を孕んでいます。 Screen Shot 2016-05-24 at 10.11.09 AM ― 予想外に多いLINEの使用状況
テキストメッセージやSNSを使って機密情報をやりとりしたことがあるかという質問に対して、23.5%がLINE、7.5%がFacebook、4.8%がTwitter、4.0%がその他SNSを使用しての経験があると回答しました。紛失やマルウェアの感染によりこうした内容は他社に読み取られることがある他、SNSアカウントの乗っ取り等、不測の危険性もあります。SNSで機密情報のやりとりを実施している場合、企業のセキュリティ担当者の管理外となってしまうケースが多く、非常に危険です。その他のSNS、テキストメッセージアプリにはSkype、Whatsapp等が含まれました。 Screen Shot 2016-05-24 at 10.11.34 AM その他、機密情報を含まない社内でのやり取りにおいても下記のようにLINEの使用率が50%を上回っています。 Screen Shot 2016-05-24 at 10.11.58 AM 会社支給端末の利用状況実態
― IT管理者の監視をすり抜ける会社支給端末のセキュリティ状況
会社支給端末は一般的に会社側のセキュリティ管理が万全に行き届いているものとの認識が強いですが、今回の調査では、会社支給端末であっても社員が非常に危険な行動をとっていることが明らかとなりました。本調査で業務上会社支給端末を主に利用していると答えた回答者のうち、5.3%が会社支給端末でジェイルブレイクをしたことがあると回答しています。 Screen Shot 2016-05-24 at 10.12.21 AM また、9.1%が非正規ルートからアプリをダウンロードしたことがあると回答しています。非正規のアプリストアは正規アプリストアのような厳格なセキュリティポリシーを持っていません。そのため、非正規ルートからアプリをダウンロードすると業務利用端末に不正アプリをインストールしてしまう可能性があり、最も企業情報を危険にさらす行為となります。 Screen Shot 2016-05-24 at 10.13.24 AM 私的端末の利用状況の実態
― 予想外に多い私的端末の利用状況
業務で私的端末を利用しているとの回答は約6割に上りました。私的端末となると、プライベートで利用されることから、よりしっかりとしたセキュリティ対策が必要になるべきではありますが、実態は、22.3%がパスワードを設定していないことがわかりました。 Screen Shot 2016-05-24 at 10.13.50 AM Screen Shot 2016-05-24 at 10.14.07 AM また、1000人以上の従業員を要する大企業でも個人使用の端末を使用している従業員が47.6%もいることもわかりました。 Screen Shot 2016-05-24 at 10.14.38 AM 私的端末上では「業務関連資料の閲覧をしている」(25.1%)、「社内ネットワークへのアクセス」(15.3%)、「ビジネス応対時のテキストメッセージやSNS利用」(22.0%)といった回答からもわかるように、企業の重要な情報がやり取りされており、機密情報等が端末に記録されている可能性があります。企業内でのモバイルセキュリティ対策、及び教育の重要性が高まってきています。 Screen Shot 2016-05-24 at 10.15.03 AM Lookoutのエンジニア兼エバンジェリストである石谷 匡弘は、今回の調査結果を受け、次のように述べています。「業務でスマートフォンを利用する社員が多くいる中、実際に彼らがどのようなタスクを業務用スマホ上で行っているのかはあまり知られてきませんでした。スマホを狙ったサイバー犯罪が増えてきている中、社内でスマホ利用に関するルールを周知していき、社員の危険な行動をできるだけ防げるよう体制を整えることは非常に重要です。一方で、厳しすぎるセキュリティポリシーを掲げるだけでは、IT管理者の監視をすり抜けルールを違反するシャドーITを助長するだけでなく、モバイル活用による生産性の向上の妨げになる可能性が否定できません。企業のセキュリティ担当は、モバイル端末の業務利用における利点を最大限活かし、その上で安全なセキュリティ体制を確立することが求められているといえるでしょう。」
【結論】
今回の調査により、大企業、中小企業に関わらず、私的端末の業務利用が進んでいる実態、そして会社からの支給端末であっても、ジェイルブレイク、ルート化、サイドローディング等の危険が潜んでいることが明らかになりました。
私生活と仕事との境界線が曖昧な現代において、モバイル端末によって企業の機密データが持ち出される可能性が出てきています。今回の調査で、社員が気づかずに危険行為を行っている実態も明らかと成りました。特に危険な行動として見逃すことができないのは、調査対象の4.8%が業務利用のモバイル端末をジェイルブレイクした経験があり、8.1%がサイドローディングを行っている点です。これらの行為は従業員自ら自社の情報漏えいに加担する危険性をはらんでおり、社員のセキュリティ教育の徹底が非常に重要となってきます。
一方で、従業員の12.4%が社内のスマホ利用に関するルールを破ったことがあると回答しており、従業員へのセキュリティ教育だけでは不十分であることが本調査の結果から推測されます。
特に、従業員数が1,000名を超える大企業では、97.6%がモバイルセキュリティの重要性を認識していながらも、16.0%がルールを破ったことがあると回答しており、約6人に1人が意図的、無意識に関わらず、ルールを違反していることとなります。
また、これら大企業の従業員に自社のスマホ利用のセキュリティ対策を評価してもらったところ、29.2%が「やや厳しい」または「とても厳しい」と回答しており、セキュリティを気にしすぎるあまり、モバイル端末の業務利用がもたらすメリットを制限してしまっている可能性があります。
世界の先見の明のある企業は、従業員の働き方に多様性をもたらし、生産性を向上させるため、積極的に職場にモバイル機器を導入してきました。しかしながら、モバイル機器の使用が未許可で実施され、ITの範囲を超えて利用される場合、受け入れ難いリスクを受け入れることになります。企業はモビリティへの変化を受け入れ、それによって生じるリスクを明確化し、対策を実施していく必要があります。
企業向けモバイルセキュリティに関して詳しく知りたい方は、こちらをご覧ください。
https://www.lookout.com/jp/mobile-threat-protection
Lookoutについて
Lookoutはモバイル攻撃が個人や企業に損害を与える前に予知・防止するサイバーセキュリティ対策を提供する企業です。Lookoutのクラウドベースの技術は1億を超えるセキュリティセンサーや、毎日発行される数万個のアプリからなるグローバルセンサーネットワークによって支えられています。 世界中のモバイルコードのデータセットと予測的人工知能を利用してデータを解析・解明し、高度技術なしには見過ごしてしまう脅威の相関関係を識別することでモバイル端末を攻撃するサイバー犯罪を阻止します。AT&T、Deutsche Telekom、EE、Orange、Sprint、T-Mobile、Telstraなど世界の先端的モバイルネットワーク企業 が、Lookoutのモバイルセキュリティソリューションを推奨しています。Lookoutの本社はサンフランシスコにあり、アムステルダム、ボストン、ロンドン、シドニー、東京、トロント、ワシントンD.C. に支社があります。
Lookoutの詳細についてはwww.lookout.com/jpでご覧いただけます。LookoutモバイルセキュリティはGoogle PlayまたはApple App Storeでダウンロードが可能です。
本件に関する報道関係の皆様からのお問い合せ先
ルックアウト広報代理
アシュトン・コンサルティング・リミテッド
電話:03-5425-7220 メール:lookout@ashton.jp
担当:岩屋雄三、山野哲平

投稿者

Lookout