世界的なサイバーセキュリティメーカーのカスペルスキーが纏めたレポートによると、セキュリティインシデント(事案)が起こる原因の2位は従業員の不注意であると言っています。
※上図は「情報セキュリティを引き起こす原因(日本)」カスペルスキー社調べ
もちろん、スパムEメールを従業員が開いてしまった場合の直接の原因は攻撃者ですが、メールを開いてしまう従業員に間接的な原因があるといっても過言ではないと感じています。とはいえ、それらは従業員の不注意から原因として除いたとしてもデータが保管されているデバイスやメディアの物理的な紛失70.8%、従業員によるITリソースの不適切な使用70.3%、モバイルデバイスでの不適切なデータ共有69.4%、コンピューター以外のコネクテッドデバイスが関連するインシデント69.4%となり、この結果でも人員が関連する分野が上位3つを占めました。
※上図は「脆弱と感じている分野(日本)」カスペルスキー社調べ
ここ数年はIT技術が進み、外部に容易に持ち出せるデバイスも様々なものが出現しました。ノートパソコンよりも軽くて手軽なタブレットやスマートフォンの出現により、データの持ち出しがますます手軽になり、会社で支給されなくても自前のデバイスを持っている従業員がほとんどです。会社のセキュリティポリシーがきちんと整備されていないとBYOD(Bring Your Own Device※個人デバイスを業務で兼用すること)なども起こり、セキュリティの範囲があやふやになります。カスペルスキー社もこう提言しています。
「効果的な対策には、セキュリティテクノロジー、外部と内部のサイバー脅威インテリジェンスの分析、定常的な監視、インシデントレスポンスのベストプラクティスを組み合わせ、かつ、それらを効果的に維持・更新することが求められます」
※カスペルスキー社ブログより
大事なことはまず経営者は自社の現状を把握することです。自社で扱っている情報はなにか?漏洩して困る情報はなにか?それら情報を扱っている部署や従業員はだれで何人か?
これらを把握したのち、これらを攻撃されない、または社内犯行を防ぐための厳格なルールを決めます。そしてそれを実行するに必要な、システム、人的ルールの切り分けを行い、多層的にセキュリティ対策を取り入れるのです。
本ブログのテーマにしているように従業員に起因するセキュリティインシデントが非常に多いという現状を鑑みれば自社の現状把握ができていない企業がとても多いということです。自社だけは大丈夫(おそらく自社の評価が低い経営者が多い)と思っていても関係なく攻撃はされることを肝に銘じましょう。
PARTNER
