2020/03/03
海外のレジリエンス調査研究ナナメ読み!
「不慮」と「故意」の差はわずか
図1は、自社の従業員が直近12カ月の間に機密情報を漏えいさせたか、または漏えいさせそうになったと思われる回数がどのくらいかをIT Leaders群に尋ねた結果であり、上側は不慮の漏えい、下側は故意の漏えいに関する回答結果である。
いずれも図の縦軸はパーセンテージなので、例えば上側であれば「1〜10回発生した」という回答をしたIT Leadersが2019年(赤色)に49%、2020年(紫色)に43%あったということを表している。
2019 年と 2020 年とでは調査範囲が異なり(注3)、前年からの変化については何とも言えないので、2020年の結果だけを見て両者を比較すると、意図的な漏えいと不慮の漏えいとの間の差が少ないことに驚く。不慮の情報漏えいと意図的な情報漏えいとでは対策の仕方が全く異なるが、企業としてはこれらを両睨みで対策を講じなければならないということを再認識させられるデータである。
また図2は、意図的な情報漏えいの理由として最も考えられるものをIT Leaders群に尋ねた結果である。最も多いのは「従業員が個人のシステム(私物)にデータを共有する」(32%)であり、これに「従業員が競合他社に漏えいさせる」(22%)、「従業員がサイバー犯罪に情報を漏えいさせる」(21%)、「従業員が転職先にデータを持ち込む」(18%)が、ほぼ横並びで続いている。
ここで「従業員が個人のシステム(私物)にデータを共有する」というのは、会社から認められていない私物のパソコンやスマートフォンにデータがコピーされた時点で、既に「会社から外に漏えいした」とみなされているということであろう(注4)。本報告書ではこの点について、従業員が効率よく仕事を進めようとしている結果が情報漏えいにつながっているのは皮肉なことであり、従業員がモバイル環境を活用し、職務環境の境界が曖昧になっていく状況を踏まえた、柔軟な対策が必要だと言及されている。
身近になってきたサイバー犯罪
また、筆者が個人的に最も驚いたのは「従業員がサイバー犯罪に情報を漏えいさせる」が予想以上に多かったことである。「従業員が転職先にデータを持ち込む」というのは日本でも昔からよく聞く話であるが、サイバー犯罪への情報漏えいが僅差ながらこれを上回っているということは、サイバー犯罪がかなり身近な存在になってきたと言えるのではないだろうか。
もちろん日本と諸外国とでは、国民性や社会環境などの違いがあり、これらが従業員の行動態様に与える影響を考えると、本報告書に書かれている状況は日本におけるそれとはかなり異なるかもしれない。しかしながら企業活動も国際化が進み、サイバー犯罪が急増している今日においては、そのような違いはますます小さくなっていくであろう。日本においても、このような諸外国における状況を踏まえて対策を考えていかなければならないように思う。
■報告書本文の入手先(PDF 16ページ/約3.4MB)
https://pages.egress.com/whitepaper-insiderdatabreachsurvey2020-0320
注1)「ベネルクス」とはベルギー、オランダ、ルクセンブルクの 3カ国の総称。
注2)CIOは Chief Information Officer(最高情報責任者)、CTOは Chief Technology Officer(最高テクノロジー責任者)、CISO は Chief Information Security Officer(最高情報セキュリティー責任者)の略である。
注3)2019年版の調査では、ベネルクス三国が調査対象に含まれていなかった。
注4)最近はBYOD(Bring Your Own Deviceの略で、一定の条件のもとで従業員が所有するパソコンやスマートフォンなどを業務に活用させること)を採り入れている企業が増えていると思われるのが、それらは企業のルールの範囲内で行われていることなので、ここでは該当しないであろう。
- keyword
- サイバー犯罪
海外のレジリエンス調査研究ナナメ読み!の他の記事
おすすめ記事
-
リスク対策.com編集長が斬る!【2024年5月14日配信アーカイブ】
【5月14日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:行動指針の意義
2024/05/14
-
-
情報セキュリティーは個人のリスク目線では通用しない
学生時代からパソコンを使いこなしてきた人が新入社員に多くいる昨今ですが、当然、個人と会社ではセキュリティーの重心が違います。また、人事異動で新たに着任した社員も、業務が変われば情報資産との関わり方が変わり、以前と同じ意識でのぞめばよいとは限りません。新年度にあたり、情報セキュリティーのルールは特に徹底したいところです。
2024/05/10
-
-
サイバーインシデント対応の基本知識と準備
本勉強会では、一般的な情報セキュリティインシデントとサイバーインシデントの違いや、その初動対応について事前に準備すべきことと合わせて、自社で手軽に訓練・演習を実施するためのポイントを解説します。2024年5月8日開催。
2024/05/09
-
-
炎上の原因はSNS上の振る舞いのみにあらず
新年度から仲間に加わった新入社員は「デジタルネイティブ」と呼ばれ、友人とSNS で交流するのがあたり前の世代です。が、学生時代と違い、社会人になれば取り巻く環境が変わり、自身の立場も変わる。うかつな投稿が「炎上」につながるケースは少なくありません。新人研修のテーマにSNSリスクを組み込むなどして教育を徹底したいところです。
2024/05/08
-
リスク対策.com編集長が斬る!【2024年5月7日配信アーカイブ】
【5月7日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:令和5年度企業の事業継続及び防災に関する実態調査
2024/05/07
-
-
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方