「内なる敵」情報セキュリティに関する調査

BYOD、クラウドサービス、コラボレーション、および欧州で近く施行される法令により、情報セキュリティ史上最大の嵐が発生する

2013年5月2日（英国発）– 世界的サイバーセキュリティ企業のクリアスウィフトは、本日、情報セキュリティの内部脅威に関する調査レポート「内なる敵」を発表しました。この調査は、英国の組織が、内部脅威によってどのような影響を受け、それをどのように管理しているかを明らかにしています。この調査によれば、回答者の46%が、情報セキュリティの対策と強化を重要課題のトップ3に挙げています。昨年、83%の組織に何らかの情報セキュリティ インシデントが発生していることから、これは当然の結果と言えるでしょう。

ただし、脅威の種類に関しては焦点がずれていることが見受けられます。多くの組織は、サイバー犯罪やハッカーなどによる外部セキュリティ インシデントに意識を集中させており、3分の2 以上の組織（69%）が、外部の脅威からの機密データ保護に注力していると回答しています。一方、回答者の58%は、過去１年間に発生した情報セキュリティ インシデントは、広い意味での「組織内」（従業員、元従業員、ビジネス パートナー等の関連組織まで含む）から発生したと推測し、組織の外部に発生源があると答えた42%を上回っています。

情報セキュリティ史上最大の嵐が発生する

人為ミス、悪意のあるコンテンツ、セキュリティポリシーの認識不足、そして BYOD （Bring your own device＝個人所有の情報端末を持ち込んで業務に使用すること）により発生する内部脅威が「内なる敵」となりつつあります。BYOD やクラウドサービスの利用の急増、広い意味での「組織」またはサードパーティーとのグローバルネットワークおよび多様なネットワーク経由での情報共有により、情報セキュリティ史上最大の嵐が発生しようとしています。

クリアスウィフト 製品担当上級副社長のガイ・バンカー博士は、次のように述べています。「これらの調査結果は、英国の企業への警告です。内部脅威は、サイバー攻撃のようにニュースで大きく取り上げられることはまれですが、情報システム部門の範囲を大きく超えて組織全体に多大な影響を与えることもあります。企業は内部脅威をもっと深刻に受け止めなければなりません。」

内なる敵の特定とBYOD

これらの内部脅威はどこで発生するのでしょうか？広い意味での組織全体においては、33%が従業員、7%が元従業員、そして18%がビジネス パートナー等の関連組織によるエラーが原因で発生しています。情報セキュリティ分野で嵐を発生させる主な要因の一つは BYOD です。BYOD は、個人所有の使い慣れた機器を使って効率よく業務を行いたいという従業員の声に後押しされ、もはや無視できない存在となっています。調査によれば、BYOD による脅威のトップ3は、個人所有の USB またはストレージ デバイスへの業務データの保管、電子メール誤送信等の人為エラー、個人所有の電子メールアカウントまたは端末からの業務関連のメール送信、となっています。上述の、元従業員により引き起こされた7%のセキュリティ違反は、BYOD に関するセキュリティ対策が不十分だったために発生したと考えられます。

今後のセキュリティ インシデントの発生を阻止するためには、BYOD の普及にきちんと向き合うことが必要です。しかしながら、BYOD を受け入れている、または管理したうえで許可している組織は31%で、それ以外の組織は、可能なかぎり を拒否またはアクセスを遮断（52%)、あるいは全面的に禁止（11%）しています。このような回答の一方で、回答者の半数（53%)は、情報システム部門が承認するか否かに関わらず、ユーザーは組織のネットワーク内で個人所有の端末を使用し続けるだろうと答えています。

ガイ・バンカー博士は、さらに次のように述べています。「BYOD 対策に真剣に取り組まない組織は、確実に転落の道に向かっています。BYOD への対応をセキュリティポリシーに組み込むことは必須です。それをしなければ、コンプライアンス、法規制、高額の罰金等の金銭的コストや社会的信用の低下といった影響が組織に及ぶことになります。」

セキュリティ課題への対処

最近でも頻繁にニュースに取り上げられているように、サイバー攻撃は組織にとって引き続き重大な懸念事項であり、情報セキュリティ対策は企業にとって優先度の高い課題です。そして、調査対象の回答者のうち72%が、セキュリティ環境の変化の速さについていくのに苦労していると答える一方で、81%は、すべての組織が重大なセキュリティ違反や未遂についてより積極的に報告するべきだと考えています。これはおそらく、組織がこれらのインシデントを公的に共有することを求める法律が英国と欧州で近く施行されることを意識していると思われます。

クリアスウィフト CEO のヒース・デイビスは次のように述べています。「企業にとって内部情報のセキュリティがどれだけ重要な課題であるかがこの調査結果に表れています。当社は、昨今の目まぐるしい早さで変化する環境に置かれた組織が、外部脅威のみならず、日々高まる内部脅威への対応にも苦労していることを認識しています。包括的なセキュリティ計画は、これらすべてに対応が可能で、「内なる敵」によって組織が財務的な損失や社会的信用の低下を被ることがないよう、具体的かつ明確なセキュリティポリシーを伴うものでなければなりません。」

本調査について
クリアスウィフトは、2013年3月に英国にあるさまざまな規模の組織の情報システム部門の意思決定者を対象に調査を行いました。防衛/航空（100)、地方自治体(100)および金融/銀行（100）の3つの分野において、300件のオンライン調査を実施しました。この調査は、ロンドンに本部を置く独立調査機関のLoudhouse Research によって実施されました。