データ損失の危険性が最も高いのはどの部署か?

Badge

ヒースデービス、最高経営責任者CEO

クリアスウィフトの最新の調査によれば、経理部と人事部と、そこで働く社員がビジネス上最大の情報セキュリティ脅威であるという結果が出ました。

調査に回答した世界のセキュリティのプロフェッショナル500人のうち、半分近くの48%が、経理部は潜在的なセキュリティ脅威にさらされていると回答し、42%は人事部もセキュリティ脅威にさらされていると回答しました。(イギリスのセキュリティプロに限ると、経理部が40%に、人事部が48%という回答でした。)

こうした懸念は、経理、人事部社員による潜在的なミスに関係しています。たとえば、給料や顧客の個人情報を間違った人に送ってしまう、マルウェアをそれとは知らずにインストールしてしまう、最近起こった既婚者向けの出会い系サイトのAshley Madisonの登録者情報がハッキングにあった例のように、従業員や契約社員が意図的にデータを盗むなどです。

この2つの部署が機密データに触れる機会が一番多いことも理由のひとつです。ですが、この結果が示しているのは、この2つの部署の人により高いリスクがある事実には、文化的な要因も起因しているということです。機密情報に同じように触れる機会が多いはずの法務部や監査部についてはリスクがもっと低く、16%がセキュリティへの懸念を述べているにすぎません。

この調査ではまた、中堅の社員がより高いリスクをかかえていることを示しています。37%の人が中間管理職は最大の脅威であると回答しており、シニアレベルの管理職と回答した人は19%、経営者・管理スタッフと回答した人に至ってはわずか12%にすぎません。これはおそらくシニアレベルの管理職たちはデータ損失のもたらす重大な結果に理解を示しているからと思われます。これに対して、ジュニアレベルの社員はそもそも大損害をもたらしかねないような種類のデータへのアクセスを持っていないことが理由に考えられます。

中年の中間管理職たちは“その中間”に属しています。重要なデータへアクセスはあるものの、データ損失に関する明らかな利害関係にはありません。時間的制約と金銭的制約にさらされていることが多いため、よりリスクを負いたいと思う傾向があります。このため、中間管理職たちはミスを犯しがちであり、時には不正行為に屈することさえあるのです。

79%のセキュリティのプロが、女性よりも男性のほうが心配だと回答しています。これはおそらく、女性のほうが注意深いとされているからともとれますが、男性のほうが機密情報を扱うことがより多いからだとも考えられます。

リモートで働くより人も、オフィスで働く人のほうがよりリスクが高いと67%が回答しています。どのようなデバイスであれ、オフィス外で働く人にセキュリティ上の懸念があると思われているにもかかわらず、実際にはオフィスで働く人のほうが機密情報へのアクセスが容易であり、データ漏洩の可能性が高いのです。

データ侵害は内部犯行であることが多いのです。質問した企業の88%が過去12か月以内にセキュリティ関連の事件を経験しており、そのうち73%は社員、過去に社員だった者、顧客、サプライヤーなど、顔見知りの犯行だったということです。

概して、セキュリティのプロは社員のうち53%がセキュリティ侵害をうっかり起こしかねない立場にあると見積もっています。しかし悪意を持ったセキュリティ侵害の原因となりうるのは、わずかに5%とみられています。

こうした情報は、企業や組織がDLP(情報漏洩防止)対策を策定するのに役立ちます。もちろん、個々の個人を対象にしろとすすめているわけではありません。しかし、特定の役割を持つ特定の人々にリスクが高いことを示すという事実を理解できれば、そうした侵害が起こらないようにするために、人的資源を集中投下することができるのです。

情報共有の自由とセキュリティとのバランスを保ちながら、サイバーセキュリティの世界は常に変化し続けています。この複雑でめまぐるしく変化する世界において、同じ組織内でも部署によって脅威は違ったものとなるでしょう。深い知識を持ち、適応型のセキュリティ技術を理解することで、ビジネスを妨げずに機密データをしっかり守り、内部脅威と戦うことができる、互いにメリットのあるセキュリティ行動計画を作ることが可能なのです。