チェック・ポイント・ソフトウェア・テクノロジーズによると、世界全体でみると、49分に1回の頻度で組織の機密データが組織外に送信されているという。7月24日に発表したレポートで明らかにした。
同レポートでは、産業界の88%の組織が2013年に情報漏えいの事故や事件につながる問題が1件以上発生したと回答しており、2012年の54%から大きく増加している。産業界のみに限らず、従来、外部の攻撃の標的にさらされてきた金融や官公庁でも、2012年と比較すると割合を伸ばしている。
2013年の調査では、社員によって外部に送信されていた情報の種類を見ると、最も多く組織外に送信されている情報はソースコードで、前年の1.5倍に急拡大した。ソースコードや業務データ記録などは組織の資産として常に攻撃者によって狙われている。
これまで、金融機関やヘルスケア企業には、顧客データや患者データを保護する目的で厳格な外部規制が課せられていたが、製造やエネルギーインフラ、輸送、さらにはエンターテインメントなどの業種にとって予防的なデータセキュリティ対策はほぼ無縁の存在だった。こうした業種の組織に対し、マスカスタマイゼーションによるマルウェア攻撃や標的型攻撃が最近増加しているという。
米国ではAdobe SystemsやTarget、eBayなどの著名企業で大規模なデータ侵害事件が発生して数百万人の顧客に影響を及ぼしているが、日本では業務委託者によるデータの売買という特徴的な要素が加わっている。日本国内でのチェック・ポイントの独自調査によると、セキュリティ対策機能や運用の課題として約4割(38.4%)が「社員や利用者への教育」を挙げた。これから対策を強化するものとして、約3割(26.9%)が「データ流出防止対策」と回答している。
これらを考え合わせると、セキュリティ対策の重要度が認知されるにつれ、外部からの攻撃に対してはある程度の整備が進んでいるものの、内部のリスクという課題には着手されておらず、課題が外部からの脅威から、より企業内部へとシフトしてきている状況が明らかになったと指摘している。
例えば、意図した相手への間違ったファイルの送信やセキュリティ対策が不十分なノートPCを公共の場に置き忘れるといった人為的なミスなども事故の多くの割合を占めている。だが、不正な思惑の有無に関係なく、情報漏えいの結果は同じだ。
機密情報がリスクにさらされ、顧客からの怒りを買い、社会的信用は失墜、場合によっては法令違反の罰金を科せられて、業務停止に追い込まれる場合も少なくない。情報漏えいの事故や事件が大規模化するにつれ、企業には専門的な知識の蓄積とセキュリティ専門家のコンサルティングが必要となっていると結論付けている。
