おつかれさまです、かーでぃです。
日々のセキュリティニュースの中で、ちょっと気になったものを取り上げて紹介していきたいと思います。
メールに企業ロゴ表示(BIMI)で、4割以上が「信頼できる・好印象」~GMOブランドセキュリティ調査
GMOブランドセキュリティ株式会社は6月3日、「企業ロゴ付きメール(BIMI)に関するアンケート調査」の結果を発表した。
(中略)
メール受信者に対し、なりすましメール・フィッシングメールを受け取った経験をたずねたところ、「よく受け取る」(月に複数回)と「たまに受け取る」(月に1回程度)を合計して54.2%となり、約54%が毎月なりすましメールを受け取っていることが分かった。なりすましメールに対する不満の程度について、「非常に不安・不安」とする人は74.3%だった。
(中略)
メールの送信元が正しい(なりすましでない)ことを認証したうえで、受信トレイに企業の公式ロゴを表示する「BIMI」(Brand Indicators for Message Identification)に関して、メール受信者向けに行ったアンケートで、企業の公式ロゴがあることでメールの開封行動に影響があると思うか? との質問に、55.7%が「影響する・やや影響する」と回答した。
(中略)
メール配信事業者に対してDMARC(Domain-based Message Authentication, Reporting, and Conformance)認証を導入しているか質問したところ、「はい」との回答は28.1%、BIMIを導入しているかの質問には「はい」が16.3%で、いずれも2025年調査より比率が低下した。同社ではこの結果に、DMARCとBIMIの導入のいずれもが停滞している状況が明らかになったとしている。
先日、こちらのセキュリティーニュースでも取り上げたBIMIについての記事ですね。
自分もフィッシングメールは大量に来ます。概ね、Gmailが迷惑フォルダに入れてくれていますので、見ることは少ないですが…
※逆に、必要なメールを迷惑フォルダに入れられることがあるので、たまに目視確認するときもあります💦
フィッシングメールの受信が、月単位で54%だと想像よりも低いかも。90%程度あるんじゃないかと思うけど……自分が以上に多いだけなのかな…?
逆に不安になってきた…
BIMIに関しては企業ロゴがメールに付いていれば安心する、というのは自分もそう。まぁ、そこで油断せずにしっかりとチェックはしますけどね。
……なんたって、標的型メール訓練にひっかかったオトコですから!(笑
そして、DMARCとBIMIの導入企業の比率の低さ…。
まぁ、そもそも自分もBIMIって言葉を最近まで知らなかったですからね。
導入よりも認知させる方が先でしょうね。
シャドーAIに「ログイン情報」を渡している割合は? Oktaの実態調査で判明
ID・アクセス管理(IAM)を手掛けるOktaが2026年5月27日に公開した調査によると、過去1年間にAI関連のセキュリティ問題やそれに近い事態を経験した経営幹部は58%に上る。さらに、経営幹部の95%は「従業員は責任を持ってAIを利用している」と回答しているが、IT部門の承認を得ないままAIツールを使う「シャドーAI」を利用している従業員の割合は52%に上った。
(中略)
Oktaの調査によると、承認外のAIツールを使っている従業員が共有している情報は、社内メッセージや電子メールが54%で最も多かった。人事関連情報が45%、財務情報や契約書を含む社外秘文書が39%と続いた。さらに、AIツールに銀行口座や決済の情報を入力している割合は28%、ログイン情報やパスワードを渡している割合も20%を超えた。
従業員がIT部門で承認されているAIツールを避ける理由は、手軽さと職場の空気にあるようだ。「自分のアカウントを使う方が簡単だ」と答えた従業員の割合は80%、「チームが既に使っており当たり前になっている」と答えた割合は78%だった。「承認プロセスが遅い」、または「煩雑だ」とする回答も57%あった。「承認済みのAIツールが自分の業務に合わない」という声は49%を占めた。
この記事、すごく好き。
経営層がどれだけ現場に寄り添ってないのかが、数値で見えますよね。
※ただし、アンケートは国際的なので日本市場に限ったわけではない。
経営層:95%が、しっかりと管理されたAIだけを使ってる
実際 :管理されてないAIを使ってる従業員は52%
👉 40ポイント以上のGAPがある。
従業員側の言い分(すごくわかる)
自分のアカウントを使う方が簡単だ(80%)
チームが既に使っており当たり前になっている(78%)
承認プロセスが遅い・煩雑(57%)
承認済みのAIツールが自分の業務に合わない(49%)
経営層は、従業員に寄り添ってしっかりと声を拾って欲しいですね。IT部門も同様で、自分の使い勝手だけで判断するのではなく、何が求められてるのか、しっかりと確認して選定してほしいところ。
従業員側も、自分勝手に好きなツールを使っていいルールがあるわけではない(いや、ルールそのものがない場合もあるか💦)ので、しっかりと定められたルールに則るべきだし、使いにくいのであれば声をあげないと。
今後、AIリスクはますます大きくなると思います。ランサムばかりに目が言ってると、普段使いしてるAIから、痛い目にあわされるかもしれないので、しっかりとリスクをつぶす運用をしていきたいですね。
セキュリティニュースの選定には、こちらのRSSを利用していますので、よかったらご利用ください。
https://script.google.com/macros/s/AKfycbzjvRpp8WisgfMKBpSH_Om97XMCO9grM-JpGPPZQoh0hzqMtqhHutmNifm1PlupILL_/exec
RSSの詳細については、こちらの記事をご覧ください。
今年4月の技術書典20で頒布し、期間中の2週間で200DL以上を記録した電子版のみの書籍です。
0円で頒布してますので、お気軽にダウンロードください。