Forresterによる2015年版の報告書「Planning for Failure」は、情報流出は悪天候と同じで避けられないということを示している。だがこの報告書が、企業が準備を怠ったと見なしているところは、好ましくない。
何が書かれているのか予測するのは簡単だ。Forresterの報告書が、どの企業も情報流出の被害に既に遭っているか、おそらく現在も情報流出の被害に遭っているか、近いうちに被害に遭うだろうと主張していることには、誰も驚かない。そして残念ながら、大半の情報流出では、情報流出の被害に遭った当事者が気付いてすらいないという、この報告書の情報にも驚かない。
Veracodeと協力してまとめたこのホワイトペーパーでは、問題は、企業が深刻なサイバー攻撃を受けるかどうかではなく、それをいつ受けるかであり、企業の60%は2015年に情報流出の被害に遭うだろうとしている。
「Planning for Failure」はその他にも、核心をつく指摘をしている。この報告書では、封じ込めに手間取り、インシデントレスポンスに失敗すると、不正侵入そのもの以上に大きな被害を引き起こし、ビジネスやチャンスを失うことで多額の損失を出したり、組織の評判が損なわれたり、営業損失を被ったりすることになることを示している。
しかしこの報告書には完全に的外れな指摘もある。それは、企業が問題の一掃に苦しんでいるのは、(この報告書によれば)多くの企業がインシデントレスポンス計画を策定していないためだと見なしている点だ。
「Planning for Failure」には次のように書かれている。「インシデントレスポンスは、情報セキュリティの中で最も見落とされやすい領域の1つだ。あらゆる情報流出を防ぐことは不可能であり、情報流出が起こってから、セキュリティおよびリスクの専門家らは、対応する準備が十分ではないことに気付く」
この報告書を読んで、あらゆる情報流出は、テクノロジが苦手な映画会社幹部の不意をついた、Sony Picturesへの攻撃のようなものだと考えて、放っておくのはたやすいことだ。そして多くの人は、Target(この報告書で言及している、別の大規模な情報流出の対象)のような巨大企業ですら、時代遅れの古いインシデントレスポンス計画しか講じていなかったと考えがちだ。
