IBM調査:パンデミックに起因するデジタルへの依存により、長引くセキュリティー上の副次的な影響が発生

• 調査から、パンデミック中に、ユーザー1人につき平均15アカウントが新たに作成され、82%がアカウント間でパスワードを使い回していることが判明
• 調査対象となったミレニアル世代の半数以上は、電話や店舗への直接訪問ではなく、安全性が低い可能性のあるアプリやWebサイトからの注文を選択
[米国マサチューセッツ州ケンブリッジ - 2021年6月15日(現地時間)発] – IBM® Securityは、パンデミック期間中の消費者のデジタル行動と、それらのサイバーセキュリティーへの潜在的な長期的影響に関するグローバルな調査結果を発表しました。調査結果から、デジタル・ファーストのやりとりが社会全体でますます一般的になってきている中、調査対象となった消費者は、セキュリティーやプライバシーに関する懸念よりも利便性を優先する傾向が強まってきており、パスワードやその他のサイバーセキュリティーに関連する行動に関して不適切な選択がされていることが明らかになりました。

消費者のセキュリティーに対するアプローチが甘いことに加え、パンデミック期間中における企業の急速なデジタル・トランスフォーメーションの進展が重なり、ランサムウェアからデータ窃盗に至るまで、各種業界全体にサイバー攻撃を広めるためのさらなる攻撃手段が攻撃者にもたらされる可能性があります。またIBM Security X-Force ( https://www.ibm.com/jp-ja/security/data-breach/threat-intelligence ) によれば、セキュリティー面における個人レベルの悪習が職場にまで持ち込まれる場合があり、それが、2020年に報告されたサイバー攻撃の最大の根本原因の1つであるユーザー認証情報の漏えいなど、企業にとって痛手となるセキュリティー・インシデントにつながる可能性もあります[1]。

このグローバル調査[2]は、世界22の地域で22,000名の個人を対象に、IBM Securityに代わってMorning Consult社が実施したものです。この調査により、消費者のセキュリティー行動に対するパンデミックの影響として、以下が特定されました。
  • デジタル・ブームはパンデミック後も続く:調査対象者は、パンデミック中にオンライン・アカウントを1人につき平均15アカウント作成しており、これは全世界で数十億のアカウントが新たに作成されたことに相当します。44%がそれらの新規アカウントの削除または無効化を行うつもりはないと回答していることから、今後数年間にわたってこれらの消費者のデジタル・フットプリントが増大されたままとなり、それによりサイバー犯罪者にとっての攻撃対象領域が大幅に拡大されることになります。
  • 過剰なアカウント数がパスワード疲れにつながった:デジタル・アカウントの急増が調査対象者の中でパスワード管理の緩みにつながっており、回答者の82%が認証情報の再利用を数度行っていることを認めています。つまり、パンデミック中に新たに作成されたアカウントの多くが、電子メールとパスワードの組み合わせを再利用している可能性が高く、それらは過去10年間に起きたデータ侵害によって、すでに漏えいしていた可能性があるということです。
  • セキュリティーやプライバシーよりも利便性が優先されることが多い:調査対象となったミレニアル世代の半数以上(51%)が、電話をかけたり実店舗を直接訪れたりするよりも、安全性が低い可能性があるアプリやWebサイトを使って注文しようと考えていました。これらのユーザーは、デジタル注文の利便性のためならセキュリティー上の懸念には目をつぶる可能性がより高いことから、不正を防止するために、サービスを提供する企業にはセキュリティーを確保するための負担がより重くかかることになります。
消費者の間ではデジタルでのやりとりを好む傾向がいっそう高まっており、こうした行動は、遠隔医療からデジタルIDに至るまで、さまざまな状況における新たなテクノロジーの導入を促進する可能性があります[3]。

IBMのグローバル・マネージング・パートナーで、IBM Security X-Force責任者のチャールズ・ヘンダーソン(Charles Henderson)は次のように述べています。「パンデミックは新たなオンライン・アカウントの急増につながりましたが、社会がデジタルの利便性を優先する傾向が高まったことにより、セキュリティーやデータ・プライバシーが犠牲になる可能性があります。企業は今、こうしたデジタルへの依存が、自社のセキュリティー・リスク特性に及ぼす影響を考慮しなければなりません。パスワードの信頼性がますます低下している中、企業が多要素認証を越えて適応することのできる1つの方法は、「ゼロトラスト」アプローチへの移行です。つまり、認証済みのユーザーは信頼できるものと決めてかかるのではなく、潜在的な脅威を見つけ出すために、プロセス全体を通して先進のAIおよびアナリティクスを応用するのです」

消費者はアクセスのしやすさに高い期待を寄せる
本調査により、現代のサイバーセキュリティーの状況に影響を与え、進化を続けているさまざまな消費者行動が浮き彫りになりました。消費者が生活のあらゆる場面でデジタルを活用するようになるにつれ、多くの人がアクセスのしやすさや使いやすさに大きな期待を抱くようになっていることが明らかになりました。
  • 5分ルール:調査によると、半数以上の成人(59%)は、新しいデジタル・アカウントの設定にかける時間は5分未満にしたいと回答しています。
  • 間違いは3回まで:世界中の回答者が共通して、パスワードをリセットする前にログインを3~4回試行すると回答しています。パスワードのリセットは、企業のコストになるだけでなく、侵害されているメール・アカウントと組み合わせて使用されると、セキュリティー上の脅威になる可能性もあります。
  • 記憶を頼りに:回答者の44%が、オンラインのアカウント情報を記憶に頼って覚えておこうとすると回答しており(これが最も一般的な方法と考えられる)、メモを取ると回答したのは32%でした。
  • 多要素認証:パスワードの再利用はますます問題となっていますが、リスクの高いトランザクションに対して認証要素を追加することで、アカウントの侵害リスクを軽減できます。調査によると、世界中の回答者の約2/3が、調査開始前の数週間以内に多要素認証を使用していました。

デジタル・ヘルスケアについての詳説
パンデミック期間中、デジタル・チャネルは、COVID-19のワクチン、検査、治療に対する膨大な需要に対応するために欠かせないものになりました。IBM Securityでは、消費者がCOVID-19関連サービスのためにさまざまなデジタル・チャネルを使い始めることで、医療提供者とのデジタル・エンゲージメントがさらに高まり、新規ユーザーも使い始めやすくなると分析しています[4]。調査からは、以下のことが明らかになりました。
  • 回答者の63%が、何らかの形式のデジタル・チャネル(Web、モバイル・アプリ、電子メール、テキスト・メッセージ)からパンデミック関連のサービス[5]を利用しています。
  • WebサイトやWebアプリがデジタル・エンゲージメントの最も一般的な方法でしたが、モバイル・アプリやテキスト・メッセージの利用も大幅に増加しており、その割合は、モバイル・アプリは39%、テキスト・メッセージは20%となっています。
医療提供者が遠隔医療をさらに推進していくにつれ、ミッションクリティカルなITシステムのオンライン化、患者の機密データ保護、継続的なHIPAAへの準拠など、これらの変化に対応するためのセキュリティー・プロトコルの設計がますます重要になってきます。そのためには、データのセグメント化や厳格なコントロールの実装によってユーザーが特定のシステムとデータにのみアクセスできるようにするなどの対応が必要であり、こうした対応により、アカウントやデバイスにデータ漏えいの被害があってもその影響は限定的になります。ランサムウェアや脅迫攻撃に備えて、患者データはできる限り常時暗号化し、また、システムやデータの中断時間を最小限に抑えて迅速に復元できるように、信頼性の高いバックアップを用意しておくことも必須です。

デジタル認証の将来の可能性
デジタル・ヘルス・パスという概念(いわゆるワクチン・パスポート)により、消費者へのデジタル認証の実際の使用事例が広まりました。デジタル認証とは、特定の身元情報を認証するためのテクノロジー・ベースのアプローチのことです。調査によると、世界の成人の65%がデジタル認証の概念を理解していると答えており、デジタル認証が一般的に受け入れられれば採用するだろうと答えた回答者は76%にのぼります。

パンデミック中にデジタル身分証明書という考え方が広く浸透することで、デジタルIDの最新システムがさらに大規模に採用されるようになる可能性があります。デジタルIDは、パスポートや運転免許証といった従来の形式のIDが必要となる場面で代わりに使用されることになり、消費者は特定のトランザクションに必要な情報だけを提供できるようになります。デジタル形式のIDは将来的にも持続可能なモデルとなる可能性を秘めていますが、偽造防止のためにセキュリティーやプライバシーの対策を講じる必要があります。そのためには、ブロックチェーンによるソリューションを活用し、消費者の認証情報が侵害された場合には、それを検証・更新する機能を提供する必要があります。

変化の激しい消費者のセキュリティー状況に組織が対応するには
パンデミックを経て、消費者とのデジタル・エンゲージメントへの依存度が高くなっている企業は、デジタル・エンゲージメントがサイバーセキュリティーのリスク特性に与える影響を考慮する必要があります。デジタルの利便性に関する消費者の行動や嗜好の変化を考慮し、IBM Securityは、企業が以下のセキュリティー推奨事項を検討することを提案しています。
  • ゼロトラスト・アプローチ:リスクの増加を考えると、企業は「ゼロトラスト」セキュリティー・アプローチへ進むことを検討する必要があります。このアプローチでは、認証済みIDやネットワーク自体がすでに侵害されている可能性があるという前提で運用するため、ユーザー、データ、リソース間の接続状況を常に検証し、承認と必要性を判断します。このアプローチでは、すべてのユーザー、すべてのデバイス、すべてのインタラクションにセキュリティー・コンテキストを行き渡らせるという目標のもと、企業はセキュリティー・データとアプローチを一本化する必要があります。
  • 顧客、消費者向けID認証および管理(CIAM)の最新化:デジタル・チャネルを引き続き活用して消費者とエンゲージメントを図りたい企業は、シームレスな認証プロセスを提供することが重要になります。最新のコンシューマー・アイデンティティー・アクセスマネジメント(CIAM)戦略に投資することで、企業はデジタル・エンゲージメントを高めることができます。つまり、デジタル・プラットフォーム全体で円滑なユーザー体験を提供し、行動分析によってアカウントの不正使用のリスクを低減することが可能になります。
  • データ保護とプライバシー:デジタル・ユーザーが増えるということは、企業が保護すべき消費者の機密データも増加します。データ侵害が企業にもたらすコストは平均で386万ドルにものぼるという調査結果 ( https://www.ibm.com/account/reg/jp-ja/signup?formid=urx-46665 ) [6]があり、企業は不正アクセスから保護するため、不審なアクティビティーを検出するデータ監視から、機密データがどこに移動しても有効な暗号化まで、強力なデータ・セキュリティー制御を確実に実施する必要があります。また、企業は消費者の信頼を維持するために、オンプレミスにもクラウドにも適切なプライバシー・ポリシーを実装することが必要です。
  • セキュリティーをテストする:デジタル・プラットフォームの使用状況や依存度が急速に変化している中、企業は従来のセキュリティー戦略やテクノロジーが昨今の新しい環境でもまだ有効であることを検証するため、専用のテストを検討する必要があります。この専用テストの重要な項目には、インシデント対応計画の有効性の再評価と、セキュリティーの脆弱性に対するアプリケーションのテストの2つが挙げられます。

本レポートの全文およびマルチメディア・アセットをご覧になるには、http://ibm.biz/IBMSecurity_ConsumerSurvey にアクセスしてください。

IBM Securityについて
IBM Securityは、エンタープライズ・セキュリティー製品およびサービスを統合した最新のポートフォリオを提供しています。このポートフォリオは、世界的に有名なIBM X-Forceリサーチのサポートを受けており、企業が効果的にリスクを管理し、新たに出現する脅威を防ぐことができるようにしています。IBMでは、世界最大規模のセキュリティー研究機関および研究開発を運営し、サービス提供を行っており、130か国以上で1日に1,500億件のセキュリティー・イベントを監視し、世界中で10,000件を超えるセキュリティーの特許を認可されています。詳しくは、www.ibm.com/security(US)、Twitter(@IBMSecurity)(US)、またはIBMセキュリティー・インテリジェンス・ブログをご覧ください。

本レポートの調査方法:本調査は2021年3月にMorning Consult社がIBMの代理として実施したグローバル調査で、アルゼンチン、オーストラリア、ブラジル、カナダ、チリ、コロンビア、フランス、ドイツ、インド、イタリア、日本、メキシコ、ペルー、シンガポール、韓国、スペイン、英国、米国、中東、中央および東ヨーロッパ、北欧、BNL(ベルギー、オランダ、ルクセンブルグ)の22の地域(各地域あたりの回答者1,000人)で、計22,000人の成人を対象としています。

当報道資料は、2021年6月15日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳です。原文は以下のURLを参照ください。https://newsroom.ibm.com/2021-06-15-IBM-Survey-Pandemic-Induced-Digital-Reliance-Creates-Lingering-Security-Side-Effects

 IBM、ibm.com、IBM Cloud、IBM Security、X-Forceは、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。 現時点での IBM の商標リストについては、http://www.ibm.com/legal/copytrade.shtml(US)をご覧ください。

[1] IBM X-Force脅威インデックス2021:ユーザー資格情報の脆弱化が2020年のサイバー攻撃における最初の攻撃経路の第3位を占め、報告されたインシデントの18%に相当しました。

[2] グローバル調査は、2021年3月にIBMに代わってMorning Consult社が実施しました。本調査は、22の地域の22,000人の成人を対象に実施されました。

[3] IBM Securityの洞察に基づく予測

[4] IBM Securityの分析に基づく予測

[5] COVID-19の経済的救済、検査、治療、ワクチン接種が該当します。

[6] 「2020年版情報漏えい時に発生するコストに関する調査(2020 Cost of a Data Breach Report)」、IBM Securityが分析および後援し、Ponemon Instituteが実施したベンチマーク調査

 

  1. プレスリリース >
  2. 日本IBM >
  3. IBM調査:パンデミックに起因するデジタルへの依存により、長引くセキュリティー上の副次的な影響が発生