2020/09/08
海外のレジリエンス調査研究ナナメ読み!
BYODによる漏えいリスク
いずれにしても、情報漏えいの検知に時間がかかっていることが問題視されているが(注5)、BYODの導入などでデバイスの数が増えたり多様化しているなかで、内部者による情報漏えいを検知するのは非常に難しいのが現実である。図2は個人のモバイル機器(主にスマートフォンやタブレットであろう)による内部での情報漏えいを検知できるかを尋ねた結果である。常に検知できるという回答は18%にとどまり、「事業所内であれば可能」(Only if they're used on premises)、「従業員が対策ソフトをインストールすれば可能」(Only if they have agents installed)といった条件付きのものを合わせても半分程度にしかならない。

この調査結果からは、BYODの導入が進む状況下でのセキュリティー対策がいかに困難であるかを改めて認識させられる。しかしながら一方で、「個人の機器からのアクセスを遮断している」(We block personal device access)という回答は3%にとどまっている。セキュリティー対策が困難になるのは認識しつつも、コスト削減や生産性、柔軟性などの観点からBYODの導入を進めざるを得えないというジレンマに直面している状況が現れていると言えよう。
本報告書では直接言及されていないが、情報セキュリティーにおいて重要なのは、対策を強固にする方向ばかりを追求するのではなく、対策の強固さと、情報を活用する際の利便性、運用コストなどの間でのバランスを、その組織にとって最適に保つことである。したがって闇雲にBYODを拒否するのではなく、本報告書で指摘されているようなさまざまなリスクがあることを認識し、自組織でそれらのリスクがどのくらいなのかを評価した上で、BYODを認めるのかどうか、どのような対策を講じるかなどを検討することが重要である。
なお本報告書では、情報漏えいが発生した場合の財務的インパクトについても検討されている。内部者による情報漏えいが発生した後に問題を修正・改善(remediation)するためのコストについては、回答者の32%が「10万〜2百万米ドル」(約1千万〜2億1千万円)程度かかると認めている。一方でセキュリティーのための予算については、回答者の57%が現状維持、16%が減少傾向と回答しており、費用対効果の高い対策の導入が求められている状況がうかがえる。
本稿の冒頭に記載した通り、本報告書については調査対象や期間などが不明なため、数値的なデータについてはどう評価してよいか分からない面もあるが、調査項目や選択肢、記述されている問題提起などは、自組織におけるリスクアセスメントの参考になるのではないだろうか。本報告書に限らずさまざまな調査報告書を参考にしながら、読者の皆様におけるリスクアセスメントをよりレベルアップさせていただければと思う。
■ 報告書本文の入手先(PDF 12ページ/約4.3MB)
https://pages.bitglass.com/CD-FY20Q3-Bitglass2020InsiderThreatReport_LP.html
注1)これらについて本報告書では「Bitglass partnered with a leading cybersecurity community to survey IT and security professionals about their organizations」(Bitglass社は、ITおよびセキュリティーのプロに対して、彼らの組織について調査するために、この分野で有数のサイバーセキュリティーのコミュニティーと提携した)と書かれているのみである。
注2)本報告書の9ページ目に「The rise of the remote workforce and the resulting surge of unmanaged devices syncing corporate data in 2020 have served as catalysts for BYOD (bring your own device) adoption」(2020年にリモートワークの従業員が増加し、その結果として管理されていないデバイスと企業のデータとの同期が急増したことが、BYOD(従業員が自己所有のデバイスを業務に用いること)の選択を促進した)という記述がある。報告書全体を通して「新型コロナウイルス」もしくは「パンデミック」といった表記は使われていないものの、この記述は新型コロナウイルスの影響としてリモートワークが急増したことを指すものと推測される。
注3)同様の問題意識に基づいた調査としては、3月に本連載で紹介させていただいた下記の報告書もあるので、併せてお読みいただければ幸いである。
第91回:働き方の柔軟性・多様性に伴う情報漏えいリスクの実態
Egress / Insider Data Breach Survey 2020
https://www.risktaisaku.com/articles/-/25275 (2020年3月3日掲載)
注4)原文では「attack」(攻撃)と表記されているが、実際に行われることの大部分が情報漏えいであると考えられるため、ここでは「情報漏えい」と訳させていただいた。
注5)当然ながら本報告書の目的は、このような問題提起をした上で自社のソリューションを売り込むことであるから、自動化されたリアルタイム検知システムや、ユーザーの行動を分析した上で疑わしい行動を特定するシステムなどの有効性が説明されているが、本稿では記述を省略する。
海外のレジリエンス調査研究ナナメ読み!の他の記事
おすすめ記事
-
社内滞在時をイメージさせる実践的な訓練と備蓄
テクニカルセラミックスを開発・生産するクアーズテックは2012年、東京都の帰宅困難者対策条例を機に一斉帰宅抑制対策に乗り出しました。独自のプログラムを追加した実効性の高い訓練や被災時の心理にも配慮したきめ細かな備蓄が評価され、2021年には東京都のモデル企業に。同社の取り組みを紹介します。
2023/01/29
-
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2023/01/24
-
リスク対策.com編集長が斬る!【2023年1月24日配信アーカイブ】
【1月24日配信で取り上げた話題】最強寒波への備え
2023/01/24
-
リスク対策.com編集長が斬る!【2023年1月17日配信アーカイブ】
【1月17日配信で取り上げた話題】防災心理を学ぶゼミ生が制作した企業の防災マニュアル/コロナ発生から3年 企業の初動対応を振り返る
2023/01/24
-
BCPと助け合える関係が機能した災害復旧活動
2019年の台風19号でグループ含め3工場が壊滅的被害を受けたカイシン工業は、経営トップが「全力復旧」の方針を発表すると各工場が即座に活動を開始。取引先や協力会社の支援を受けて設備の交換を迷いなく進めるとともに、代替生産によって早期に出荷を再開しました。同社のBCPと助け合える関係づくりを紹介します。
2023/01/19
-
-
-
リスク対策.com編集長が斬る!【2023年1月10日配信アーカイブ】
【1月10日配信で取り上げた話題】2023年のリスクを読む
2023/01/17
-
豪雪をもたらす寒波――1月の気象災害――
2005(平成17)年12月は極東域に強い寒気が南下し、日本列島は相次ぐ寒波に見舞われた。東日本と西日本では、12月の月平均気温が戦後最も低くなった。また、日本海側では記録的な大雪となった。その傾向は2006(平成18)年1月以降も続き、日本海側の山間部では大雪となる日がたびたび現れた。新潟県津南町で2月5日に最深積雪416センチメートルを記録するなど、多くの地点で積雪深の最大記録を更新した。このため、除雪や屋根の雪下ろし等の作業中の落雪や転落などの事故による死傷者が多数発生するなどの人的被害があったほか、家屋の損傷、交通障害、停電などの被害が多発した。気象庁は、2006年3月1日、前年12月からの一連の大雪を「平成18年豪雪」と命名すると発表した。今回は、この豪雪をもたらした寒波について解説する。
2023/01/15
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方