2020/09/08
海外のレジリエンス調査研究ナナメ読み!
BYODによる漏えいリスク
いずれにしても、情報漏えいの検知に時間がかかっていることが問題視されているが(注5)、BYODの導入などでデバイスの数が増えたり多様化しているなかで、内部者による情報漏えいを検知するのは非常に難しいのが現実である。図2は個人のモバイル機器(主にスマートフォンやタブレットであろう)による内部での情報漏えいを検知できるかを尋ねた結果である。常に検知できるという回答は18%にとどまり、「事業所内であれば可能」(Only if they're used on premises)、「従業員が対策ソフトをインストールすれば可能」(Only if they have agents installed)といった条件付きのものを合わせても半分程度にしかならない。
この調査結果からは、BYODの導入が進む状況下でのセキュリティー対策がいかに困難であるかを改めて認識させられる。しかしながら一方で、「個人の機器からのアクセスを遮断している」(We block personal device access)という回答は3%にとどまっている。セキュリティー対策が困難になるのは認識しつつも、コスト削減や生産性、柔軟性などの観点からBYODの導入を進めざるを得えないというジレンマに直面している状況が現れていると言えよう。
本報告書では直接言及されていないが、情報セキュリティーにおいて重要なのは、対策を強固にする方向ばかりを追求するのではなく、対策の強固さと、情報を活用する際の利便性、運用コストなどの間でのバランスを、その組織にとって最適に保つことである。したがって闇雲にBYODを拒否するのではなく、本報告書で指摘されているようなさまざまなリスクがあることを認識し、自組織でそれらのリスクがどのくらいなのかを評価した上で、BYODを認めるのかどうか、どのような対策を講じるかなどを検討することが重要である。
なお本報告書では、情報漏えいが発生した場合の財務的インパクトについても検討されている。内部者による情報漏えいが発生した後に問題を修正・改善(remediation)するためのコストについては、回答者の32%が「10万〜2百万米ドル」(約1千万〜2億1千万円)程度かかると認めている。一方でセキュリティーのための予算については、回答者の57%が現状維持、16%が減少傾向と回答しており、費用対効果の高い対策の導入が求められている状況がうかがえる。
本稿の冒頭に記載した通り、本報告書については調査対象や期間などが不明なため、数値的なデータについてはどう評価してよいか分からない面もあるが、調査項目や選択肢、記述されている問題提起などは、自組織におけるリスクアセスメントの参考になるのではないだろうか。本報告書に限らずさまざまな調査報告書を参考にしながら、読者の皆様におけるリスクアセスメントをよりレベルアップさせていただければと思う。
■ 報告書本文の入手先(PDF 12ページ/約4.3MB)
https://pages.bitglass.com/CD-FY20Q3-Bitglass2020InsiderThreatReport_LP.html
注1)これらについて本報告書では「Bitglass partnered with a leading cybersecurity community to survey IT and security professionals about their organizations」(Bitglass社は、ITおよびセキュリティーのプロに対して、彼らの組織について調査するために、この分野で有数のサイバーセキュリティーのコミュニティーと提携した)と書かれているのみである。
注2)本報告書の9ページ目に「The rise of the remote workforce and the resulting surge of unmanaged devices syncing corporate data in 2020 have served as catalysts for BYOD (bring your own device) adoption」(2020年にリモートワークの従業員が増加し、その結果として管理されていないデバイスと企業のデータとの同期が急増したことが、BYOD(従業員が自己所有のデバイスを業務に用いること)の選択を促進した)という記述がある。報告書全体を通して「新型コロナウイルス」もしくは「パンデミック」といった表記は使われていないものの、この記述は新型コロナウイルスの影響としてリモートワークが急増したことを指すものと推測される。
注3)同様の問題意識に基づいた調査としては、3月に本連載で紹介させていただいた下記の報告書もあるので、併せてお読みいただければ幸いである。
第91回:働き方の柔軟性・多様性に伴う情報漏えいリスクの実態
Egress / Insider Data Breach Survey 2020
https://www.risktaisaku.com/articles/-/25275 (2020年3月3日掲載)
注4)原文では「attack」(攻撃)と表記されているが、実際に行われることの大部分が情報漏えいであると考えられるため、ここでは「情報漏えい」と訳させていただいた。
注5)当然ながら本報告書の目的は、このような問題提起をした上で自社のソリューションを売り込むことであるから、自動化されたリアルタイム検知システムや、ユーザーの行動を分析した上で疑わしい行動を特定するシステムなどの有効性が説明されているが、本稿では記述を省略する。
海外のレジリエンス調査研究ナナメ読み!の他の記事
おすすめ記事
-
-
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
-
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
-
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
-
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
-
民間企業の強みを発揮し3日でアプリ開発
1月7日、SAPジャパンに能登半島地震の災害支援の依頼が届いた。石川県庁が避難所の状況を把握するため、最前線で活動していた自衛隊やDMAT(災害派遣医療チーム)の持つ避難所データを統合する依頼だった。状況が切迫するなか、同社は3日でアプリケーションを開発した。
2024/04/11
-
-
組織ごとにバラバラなフォーマットを統一
1月3日、サイボウズの災害支援チームリーダーである柴田哲史氏のもとに、内閣府特命担当の自見英子大臣から連絡が入った。能登半島地震で被害を受けた石川県庁へのIT支援要請だった。同社は自衛隊が集めた孤立集落や避難所の情報を集約・整理し、効率的な物資輸送をサポートするシステムを提供。避難者を支援する介護支援者の管理にも力を貸した。
2024/04/10
-
リスク対策.com編集長が斬る!【2024年4月9日配信アーカイブ】
【4月9日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:安全配慮義務
2024/04/09
-
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方