Video Screencast Help

敵は身内にあり

Created: 25 Jul 2012 • Updated: 26 Jul 2012 • Translations available: English
fdesouza's picture
0 0 Votes
Login to vote

有名企業から情報を盗み出す犯罪やハクティビズム(アノニマスなど)、国家の関与などがニュースの見出しをにぎわせていますが、情報漏えいの原因として最も大きいのは、いったい何でしょうか。このような問いに答えるために、シマンテックと Ponemon Institute 社は、今年で 3 回目となる「Global Cost of Data Breach Study(全世界の情報漏えいのコストに関する調査)(PDF)」を共同で実施し、企業における情報漏えいの世界的な傾向とその経済的な影響について調べました。

調査結果は今年の前半に発表されましたが、その答えは驚くべきものでした。ニュースの見出しとは裏腹に、実際に情報漏えいの原因となっているのは、従業員や契約社員など、企業内の情報に対して正規のアクセス権を持っている人々だったのです。その比率は、全世界の情報漏えいの 36 パーセントにも及びます。悪質な攻撃による情報漏えいは 34 パーセント、続いてシステム上の欠陥によるものが 29 パーセントでした。

内部関係者の不注意に起因する件数は日本が最も高く、わずかな差で米国とイタリアが続いています。ドイツやフランス、オーストラリアでは、内部関係者の不注意よりも悪質な攻撃による情報漏えいの件数が上回っています。インドでは、調査対象の各国とは状況が大きく異なり、全体の 45 パーセントがシステム上の欠陥によるものでした。

この調査結果は、企業がようやく機密情報や個人情報の保護に真剣に取り組むようになったことを示しています。その動機は、高額な課徴金や、評判とブランドの失墜を避けることにありますが、被害者に対する通知コストは一貫して上昇が続いています。米国の企業は、1 件の情報漏えいに 550 万ドルを費やしています。これはドイツと英国のほぼ 2 倍、インドと比べれば実に 18 倍に達する金額です。費用高騰の原因は主として、情報漏えいの発生を認知した企業に義務付けられている通知をめぐって多様な法律が存在することにあります。

にもかかわらず、企業は情報漏えいの「発生後に」予防措置を取っている場合がほとんどです。トレーニングプログラムやマニュアル管理の導入といった従業員の行動に関する改善もあれば、暗号化の徹底や情報漏えい防止ソリューションの導入など技術主導の改善を行っている企業もあります。しかし、情報漏えいから身を守る唯一の方法は、常に警戒を怠らないことです。トレーニング、インテリジェントな情報管理ポリシー、そして効果的な技術を組み合わせることで、組織が情報を保護し、堅固なセキュリティ体制を維持する能力が大きく向上します。

そこで、皆様に質問があります。情報漏えいのリスクを少なくするために、どのような対策をしていますか。ぜひ皆様のベストプラクティスを教えてください。

最後に、本年度の「全世界の情報漏えいのコストに関する調査」についての詳細と、各国別のレポートについては、こちら(英語)にアクセスしてください。自社のリスク状況について、シマンテックの www.databreachcalculator.com(英語)を使って分析することもできます。