IPAの「情報セキュリティに対する意識調査」を読み解く
2016年12月に、経済産業省所管の独立行政法人である情報処理推進機構(IPA)が「情報セキュリティの脅威に対する意識調査」を発表しました。
- 「2016年度情報セキュリティに対する意識調査」報告書について
http://www.ipa.go.jp/security/fy28/reports/ishiki/index.html
この意識調査は「13歳以上のパソコンおよびスマートデバイスのインターネット利用者」に対してのWebアンケートを収集したもので、パソコンからの調査回答が5,000名、スマートデバイスからの回答が5,000名、合計10,000人の調査となっています。
企業の経営者、従業員といった属性に特化した調査ではないため、ビジネスにおける動向を把握するものではなく、あくまで個人の一般消費者の調査となっています。信頼性が高く、最新の大規模な調査であることから、様々な形で結果を理解・分析した上で、自社のセキュリティ強化に役立てることが可能です。
今回はこの中からID・パスワードに関わる調査について、焦点を当ててご紹介いたします。
1.パスワードの設定方法
パスワードを作成する上で、どのような点に注意して作成しているかについての回答です(複数回答)。上位からご説明いたします。
- パスワードは誕生日など推測されやすいものを避けて設定している: 47.0%
- パスワードはわかりにくい文字列を設定している: 46.0%
- サービス毎に異なるパスワードを設定している: 26.9%
- 管理しているID(アカウント)が2種類以上の回答者のうち、32.4%がサービス毎に異なるパスワードを設定
個人に対する調査であるため、企業向けの調査とは大きく異なる結果が出ています。企業であれば、パスワードの複雑性やパスワードの使い回し防止をシステム的に強制することができますが、個人ではそうはいきません。よって、相対的に脆弱な管理であると言えます。どの回答項目についても、過半数を上回るものがないことは、ある意味驚きといえます。
また、2種類以上のIDを管理しているユーザーのうち、パスワードを使い回していないのが32.4%に留まっています。つまり、67.6%はパスワードを使い回していることが明らかになっています。
無料で使える「トラスト・ログイン(旧 SKUID)」の資料請求はこちら
2.複数IDを持つ利用者のパスワード設定
「インターネット上で利用しているID(アカウント)のうち、自分で管理しているものはいくつあるか」という質問に対する回答です。
- 1種類: 27.1%
- 2種類以上: 64.1%
- 自分で管理しているものはない: 8.8%
この調査自体がWebでのアンケート方式で行われているため、「自分で管理しているものはない」という回答はほとんどが誤りで、かつ1種類しかないという回答も「IDやアカウントを管理する」という意味を正しく理解していないのではないかと推察されます。よって、2種類以上のIDを管理している回答者の数は、実際にはこの数字以上に大きいと推察されます。
次に、保有しているパスワードの個数で回答者を分け、「サービスごとに異なるパスワードを設定している(パスワードを使い回していない)」と回答した割合をグラフにしています。
http://www.ipa.go.jp/files/000056568.pdf から引用
結果を見ると、「IDを多く保有しているほど、パスワードの使い回しが少ない」、そして「保有IDが少ないほど、パスワードの使い回しが多い」ということが分かります。IDを多く保有している(つまり、多くのシステムやクラウドサービス、ショッピングサイトなどを利用している)ほど、パソコンやスマートデバイスの利用が多く、情報セキュリティに関する知識も多く有していることが推察できます。
3.パスワードの管理方法
普段利用しているパスワードを、どのように忘れずに管理しているかについて回答をまとめています。多い順の回答となります。
- 手帳などの紙にメモしている: 2014年 49.8% → 2016年 53.6%
- 自分で記憶している: 2014年 56.1% → 2016年 52.0%
- ブラウザの保存機能を使っている: 2014年 13.6% → 2016年 12.0%
- パソコンにインストールするアカウント管理ソフトを使っている: 2014年 6.2% → 2016年 7.0%
- 電子ファイルに記録し管理している: 2014年 8.3% → 2016年 6.2%
ここでは、2014年に行われた調査の結果と、2016年に行われた調査の結果を併記しました。「手帳などの紙にメモしている」が、「自分で記憶している」を上回り最も多い回答となっています。つまり、個人におけるパスワード管理は以前と比べて安全でなくなっているということです。逆に、「パソコンにインストールするアカウント管理ソフトを使っている」個人は増加していることから、セキュリティ意識の高い個人とそうでない個人が分化しているのかもしれません。
企業・組織におけるIDパスワード管理はIDaaSが主流に
今回の調査内容は個人向けの内容であるため、企業や組織における対策については言及されていません。個人のうち7.0%が利用していると回答した「アカウント管理ソフト」ですが、企業向けにはより高度な管理が行える製品が多数販売されています。弊社が提供するクラウド型IDパスワード管理サービス (IDaaS: Identity as a Service) である「トラスト・ログイン(旧 SKUID)」もそうした製品の中の一つです。
IDaaSとは、これまでは「企業内でのシングルサインオンの実現」ならび「パスワード設定ポリシーの強制」が中心であったIDパスワード管理を、クラウドサービスも含めて捉えなおしたサービスとなります。「クラウド上で保管されている1つの強固なパスワードでIDaaSにログインすれば、他のサービスへのログインを全て自動で(シングルサインオンで)実施できる」というものです。複雑なパスワードを多数作成したところで、記憶ができなくなってしまうので、結局紙にメモすることになり、セキュリティが脆弱になる。そんなジレンマを解消したクラウドサービスです。
インターネットのセキュリティ基盤であるSSL認証局の運営を長らく行い、国内最大手のSSL認証局企業である弊社、GMOグローバルサインの総力を結集したサービスとなっており、通常有料のサービスをアプリ数制限、ユーザー数制限なしで無料で利用することができます。他サービスとコストや機能を比較検討する上でも、ぜひ一度お試しいただければと存じます。
