> > 内部からの情報漏えいを止めるには

RSSフィード

内部からの情報漏えいを止めるには

従業員に対する教育ができていない、ファイルを暗号化せずに共有しているなど、情報漏えいが組織内部から起きる理由は多い

365392142.jpg組織の内部から情報漏えいが起きるのはなぜなのか ― 調査機関の Ponemon Institute がその理由を探ったところ、 機密情報の開示について、企業の大半が適切なセキュリティポリシーの策定や従業員に対する教育、ツールの導入などを行っていないことが判明しました。この調査結果をまとめた報告書「Risky Business: How Company Insiders put High Value Information at Risk」(ビジネスが危ない:社内関係者が危険にさらす重要機密情報)では、大量の重要機密情報が危険にさらされており、こういった情報の漏えいを検知して止めることが大きな課題となっていると結論づけています。

適切な取り扱いについて教育を受けていない従業員

企業にとって、従業員は以前から常に大きなリスク要因でした。これ自体は何も新しいことではありません。英国のある別の調査によると、2015 年に被害の大きかった漏えい事件の 50 % は人為的ミスが原因です。調査報告書「Risky Business」でも同様の結果が出ています。回答者の半数以上が漏えいの原因は従業員の不注意であったとし、同 40 % 以上が機器の紛失または盗難を原因として挙げています。

弱点のひとつは、ポリシーの整備とその教育の欠如です。調査対象となった企業の 56 % は、機密を含む文書やファイルをどのように保護すべきか、従業員に対する教育を施していないと答えています。不注意な従業員を非難するのは簡単ですが、責任を負うべきは企業の側です。重要情報を保護することの大切さについて、組織は全社員を教育する義務があります。従業員が知識不足では、会社情報の重要性や、情報を開示した場合にどんな影響があるのかを理解できないかもしれません。

暗号化なしのデータ共有が漏えいにつながる

調査報告書によると、機密情報が不正利用者の手に落ちてしまう理由のひとつは、ファイルを暗号化せずに共有することです。予想通りの結果とはいえ、残念なことです。調査対象組織の従業員のほぼ半数が、機密書類を他の従業員と共有または送受信しています。共有に使う手段として挙げられているのは、暗号化されていない電子メールが 69 % で、クラウドベースのファイル共有ツールが 58 % となっています。また、回答者の半数は、ファイルの適切な共有方法に関するセキュリティポリシーが会社によって定められていないと答えています。

機密文書の保護はだれの仕事か

機密文書をがっちり守りたい企業にとって、課題はいくつもあります。大きな問題のひとつは、情報の保護や従業員の教育、手順の徹底、取り扱いの確認などを行う担当者が組織内で割り当てられていない場合があるということでしょう。実際、回答者の 37 % が、会社にそのような担当者はいないと答えています。

もうひとつの課題は、大量の企業秘密が会社内のあちこちに点在していて、特定の文書がどこにあるのかを正確に把握している人物が少ないということです。

データを保護するために闘う

攻撃者の手口は巧妙になる一方ですので、機密データの保護は永遠の課題として残ります。機密文書を守るには、組織的にしっかりと取り組む必要があります。

調査を通して分かったのは、機密情報の保護を担当する人物を、会社は組織内で任命しなければならないという点です。任命された担当者は、文書の受け渡し時は暗号化を使うように徹底するなど、文書の共有手順を確立し、従業員に対してセキュリティポリシーや手続きを教育する必要があります。

 

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: Battling to Stop Data Leaks from the Inside - [2016 年 6 月 30 日投稿]