この25%は大きな増加だ。Elasticaは、2014年第4四半期から2015年第2四半期までの間に、ユーザーによって幅広く共有されている文書の割合は、9%から25%へと増加したとしている。この増加の1つの理由は、「Microsoft Office 365」のようなクラウドアプリサービスを導入する企業が増えたことにある。もう1つの理由は、全体として文書共有の数が増加したことだ。
報告書によれば、幅広く共有されるファイルには、次のような種類のデータ漏えいが見受けられるという。
- 組織内部での漏えい:74%。不注意によって組織内で共有されてしまう機密ファイルの例として、給与に関する文書がある。
- 組織外部への漏えい:17%。ファイルを、ベンダーや契約企業といった組織外と共有する場合がその例だ。リスクの例としては、契約終了後に、文書が契約企業に送付されるケースがこれにあたる。
- 一般への漏えい:9%。これは、最もリスクが高く、同時にコストが最も高くなる可能性のある漏えいの形だ。その情報は、漏えいしたコンテンツへのリンクによって、インターネット上のあらゆる人から見える状態になり、そのコンテンツは検索エンジンのクロールによって簡単に広がってしまう可能性がある。
データを分析したところ、全ての垂直市場の中で、機密データの漏えいが最も多いのはヘルスケア業界であることが分かった。Elasticaによると、ヘルスケア業界は、データ漏えいを引き起こす要因がほかの業界よりも多いという。医師や病院とベンダーの関係の複雑さや、患者と職員、保険会社を含む顧客関係の動的な性質などがその要因となっている。闇市場において、ハックされた医療記録は、盗まれたクレジットカードの10倍の価値があると、同レポートの著者らは指摘している。
ElasticaはSaaSストレージプロバイダー向けに実用的なリスク測定方法を開発し、それを「Elastica Total Economic Impact(ETEI)」と名付けた。ETEIは、BoxやGoogle、Driveなどのクラウド企業が、セキュリティ侵害でデータや機密情報を漏えいさせてしまった場合に、復旧までに被る経済的影響を測定する。Elasticaの計算によると、データ漏えいが原因で企業が被る経済的影響は平均1385万ドルだという。
同社の調査では、アカウント乗っ取りや詐欺行為、意図的なデータ破壊といった脅威が原因で、全アカウントの1.34%に悪意ある活動の兆候があることも分かった。疑わしい活動の大半はユーザーの異常な挙動によるものであり、その主な例としては、多すぎるセッションや、共有の頻度が異常に高いことが挙げられる。これらの挙動が見られた場合、ボットネットがアカウントを乗っ取って機密データを盗み出そうと試みていることを示している可能性がある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
