海外コメンタリー

最大のセキュリティ脅威は社内にあり--“悪意のないミス”に要注意

Chris Duckett (ZDNet.com.au) 翻訳校正: 村上雅章 野崎裕子

2017-11-30 06:30

 「KRACK」や「Heartbleed」といった人目を引く名前こそつけられていないものの、社内に潜む脅威に対する懸念は組織に大きな影を落としている。そしてこの状況は、電気とシリコンチップ、コンピューティングを用いて情報を格納するようになった頃から続いている。


提供:Baris Onal, Getty Images

 不平や不満を抱いている従業員が組織内でひそかに反旗を翻し、腹いせに自社の貴重な情報を世の中に公開するというストーリーは想像に難くないが、実際には従業員が意図せずにとんでもないことをやってしまう場合の方が多いはずだ。

 最近では、サーバ上の誰もが閲覧できる領域にデータを格納してしまったことによるデータ流出も増えているように見受けられる。

 セキュリティアドバイザーであり、Telstraの最高情報セキュリティ責任者(CISO)を務めた経験もあるMike Burgess氏は米ZDNetに対して、「私は常に、手始めとして観点に目を向けるようにしている。最大の脅威は社内の脅威だ」と述べたうえで、「これは、従業員が悪いというわけではなく、サプライチェーンに携わっている人々が悪いというわけでもない。ただ、一般的に言って人間が最も大きな被害をもたらせるというだけの話であり、その例は枚挙にいとまがない」と述べている。

 サイバーセキュリティ企業Thalesが最近実施した調査では、慎重な扱いを要するデータや機密データに対する最大の脅威は従業員によるミスだと答えた回答者が54%に上った。同社のアジア太平洋地域担当CISOであるBen Doyle氏は米ZDNetに対して、悪意を持った内部関係者の行動には特定のパターンが見られる場合も多い一方、事故の芽を見出すのは困難だと語っている。

 同氏は「セキュリティに関するしっかりした文化、しかも単なる情報セキュリティ文化ではなく、包括的なセキュリティ文化が根付いている場合、社内の人間が悪意を抱くようになれば態度などの変化が兆候として目立ちやすくなるため、それに気付くチャンスがあるはずだ」と述べている。

 「意図的ではないセキュリティ侵害の脅威は、実際に被害が明るみに出るまで兆候のない場合も多いと考えられる」(Doyle氏)

 この見解は業界内で共有されており、Sophosの最高技術責任者(CTO)Joe Levy氏も、セキュリティ侵害は社外の人間によって引き起こされるものよりも、社内の人間によるミスを原因とするものの方が多いと述べている。

 「(データに対する)アクセスの難易度や、近接性という観点でみれば、社内の人間はデータにより近いところにいる。(このため)社外の人間よりも社内の人間の方がセキュリティ侵害の原因となる可能性がはるかに高い」(Levy氏)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]