「KRACK」や「Heartbleed」といった人目を引く名前こそつけられていないものの、社内に潜む脅威に対する懸念は組織に大きな影を落としている。そしてこの状況は、電気とシリコンチップ、コンピューティングを用いて情報を格納するようになった頃から続いている。
提供:Baris Onal, Getty Images
不平や不満を抱いている従業員が組織内でひそかに反旗を翻し、腹いせに自社の貴重な情報を世の中に公開するというストーリーは想像に難くないが、実際には従業員が意図せずにとんでもないことをやってしまう場合の方が多いはずだ。
最近では、サーバ上の誰もが閲覧できる領域にデータを格納してしまったことによるデータ流出も増えているように見受けられる。
セキュリティアドバイザーであり、Telstraの最高情報セキュリティ責任者(CISO)を務めた経験もあるMike Burgess氏は米ZDNetに対して、「私は常に、手始めとして観点に目を向けるようにしている。最大の脅威は社内の脅威だ」と述べたうえで、「これは、従業員が悪いというわけではなく、サプライチェーンに携わっている人々が悪いというわけでもない。ただ、一般的に言って人間が最も大きな被害をもたらせるというだけの話であり、その例は枚挙にいとまがない」と述べている。
サイバーセキュリティ企業Thalesが最近実施した調査では、慎重な扱いを要するデータや機密データに対する最大の脅威は従業員によるミスだと答えた回答者が54%に上った。同社のアジア太平洋地域担当CISOであるBen Doyle氏は米ZDNetに対して、悪意を持った内部関係者の行動には特定のパターンが見られる場合も多い一方、事故の芽を見出すのは困難だと語っている。
同氏は「セキュリティに関するしっかりした文化、しかも単なる情報セキュリティ文化ではなく、包括的なセキュリティ文化が根付いている場合、社内の人間が悪意を抱くようになれば態度などの変化が兆候として目立ちやすくなるため、それに気付くチャンスがあるはずだ」と述べている。
「意図的ではないセキュリティ侵害の脅威は、実際に被害が明るみに出るまで兆候のない場合も多いと考えられる」(Doyle氏)
この見解は業界内で共有されており、Sophosの最高技術責任者(CTO)Joe Levy氏も、セキュリティ侵害は社外の人間によって引き起こされるものよりも、社内の人間によるミスを原因とするものの方が多いと述べている。
「(データに対する)アクセスの難易度や、近接性という観点でみれば、社内の人間はデータにより近いところにいる。(このため)社外の人間よりも社内の人間の方がセキュリティ侵害の原因となる可能性がはるかに高い」(Levy氏)