Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

内部不正により年間利益の20%が奪われる可能性がある

Code42が、インサイダー(内部不正)に関する調査レポートを出していました。この調査によるとインサイダーのデータ侵害の大部分は悪意が無いものと分析されています。

www.infosecurity-magazine.com

レポート あなたのインサイダーリスクとあなたの知的財産の価値を理解するには、 3(33%)に少なくとも1つは、データ侵害が影響を受けたデータへのアクセスが許可を持つ人が関与報告していることが分かりました。

レポートの重要な発見は、これらのインサイダーデータ侵害の78%が、悪意ではなく、意図しないデータの漏洩または損失に関係していることでした。研究者は、従業員が日常業務の責任を果たしながら、貴重な企業データを危険にさらすような行動を繰り返し取っているのを観察しました。

 

キタきつねの所感

内部不正を調査したデータはそう多く目にする事がありません。それはサイバー攻撃に比べて、内部で発生した事を内々に処理してしまう企業や組織が多いからとも言えますが、なにより発生頻度が低い事があるのかと思います。

そんな中でこの調査結果は色々な気づきがあるかと思います。しかしデータ漏えいにおける「不注意(悪意の無い行為)」が大半を占めるという傾向は、例えばJNSAの「2018年 情報セキュリティインシデントに関する調査報告書」等、他の調査レポートでも同じ様な結果は出ているので、そう目新しいものではないかも知れません。

問題なのは、1度発生した際の被害額です。海外の調査データと日本のデータは少し違いがあると思いますが、内部関係者からの違反の損害額が、最大で年間利益の20%に達する可能性があるという結果は注目に値します。

AberdeenとCode42による最近の調査によると、内部関係者からのデータ侵害は、年間収益の20%ものコストがかかる可能性があります。 (写真:ビジネスワイヤ)

 

セキュリティは経営責任であり、企業の経営者はそのリスクを把握しておくべきとは良く言われる事ではありますが、海外でそうである様に、企業側がセキュリティ対策を講じていなかった為に発生した大きなインシデントで、経営者が訴えられる時期はそう遠くない気がします。

 

また、コロナ禍における事情が顕著に表れているとは思いますが、もう1つこのデータと併せて企業や組織が押さえておきたいのが、「企業がパンデミックから脱し、従業員の40%が転職を計画しているため、企業データはリスクにさらされています」という、マイクロソフトが今年2月に出した調査結果です。

※日本語記事も出てましたので下記にリンクを貼っておきます。今回の記事とは関係ありませんが、テレワークで使うツールの変化や、生産性向上についてのデータも出ていますのでご興味がある方は一度ご覧になると良いかと思います。;

news.microsoft.com

 

こうした内部不正対策で、最も重要だと思われるのが社員行動の可視化です。しかしCode42の調査データを見る限り、あまり上手くいっている様には思えません。

コロナ禍の対応、あるいはDX化という名の元で、企業がデジタル環境を整備した事は良い面も多々あったのは間違いありませんが、その悪い面が、守るべき資産が拡散して可視化が難しくなったとも言えそうです。

企業のほとんどは、自社のデジタル環境に対して一貫した一元化された可視性を備えていないため、企業はデータセキュリティの維持に苦労しています。研究者は、組織の75%が、組織のエンタープライズファイルの移動量を追跡し、日常のタスクを実行する正当なユーザーによって貴重なファイルが公開される頻度を監視するために必要なツールを欠いていることを発見しました。

調査のもう1つの重要な発見は、2020年には、サーバーよりもエンドポイントで違反が発生する可能性が4.5倍高いことでした。

(Infosecurity Magazine記事より引用)※機械翻訳

 

企業内でもゼロトラスト対策、というのは外部の脅威に比べて優先順位が低い所も多いかと思いますが、外部の脅威と並行して内部の潜在的脅威にも手当をしていくべきで、まずは現状把握、従業員が業務上必要の無い機微なデータや多量のデータを取扱っているのであれば、その詳細を追跡する事から始めてみるのが良いのかも知れません。

 

調査データでは、悪意のない従業員が”やらかしている”ポイントとして以下の点を挙げています。この辺りも参考となるのではないでしょうか。

ユーザーごとの信頼できるインサイダーによるデータ公開イベントの1日平均は13であり、電子メール、メッセージング、クラウド、またはリムーバブルメディアを介した信頼できない場所への企業ファイルの移動が含まれていました。

(Infosecurity Magazine記事より引用)※機械翻訳

 

また、併せて、海外の様に転職者が増える事を想定して、重点的に退職予定者(突如の退職者)の行動を俯瞰できる様なログの取り方をしておく、この事も重要かと思います。

 

データ漏えいの3分の1がインサイダーに関係していることはわかっていますが、それははるかに高い可能性があります。重要なアイデアと重要なIPには、会社の王冠の宝石だけではありません。これには、ソースコード、顧客リスト、給与体系などの非常にデジタルでポータブルな情報が含まれています。これらのデータを取得すると、企業の競争力と収益に壊滅的な影響を与える可能性があります。」

(Infosecurity Magazine記事より引用)※機械翻訳

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ダメージをくらう人のイラスト

 

更新履歴

  • 2021年7月8日 AM