企業は知的財産の流出防止を優先――調査で明らかに
ほとんどの企業では、知的財産の流出防止が優先されており、クレジットカード番号、社会保障番号、各種のユーザー/顧客データといった、個人を特定できる情報を保護することが最優先になっていないという。
1月に報じられた小売大手TJXでの大量のデータ盗難といった事件が相次ぐ状況の中、90%の企業が今後1年間で、知的財産の電子コピーのセキュリティを強化するために新しい技術を導入する予定だというのも驚くことではない。
これは、Enterprise Strategy Group(ESG)が3月5日に公表した報告書「Intellectual Property Rules」(知的財産ルール)の内容の一部である。ESGは報告書作成に当たり、従業員1000人以上の企業112社を対象に調査を行った。
情報保護企業のReconnexがスポンサーとなったESGの調査は、IP(知的財産)をテーマとして四半期毎に報告が行われる一連の調査の第1回目となるもの。
ESGのセキュリティアナリスト、エリック・オグレン氏によると、同社にとって意外だった結果の1つは、IP問題が非常に大きいということだった。
「ほとんどの企業では、クレジットカード番号、社会保障番号、各種のユーザー/顧客データといったPII(Personally Identifiable Information:個人を特定できる情報)を保護することが最優先になっていない」とオグレン氏は述べている。
「アンケートでは最初に、『何を知的財産と考えるか』と質問した。企業が守りたいと考えているのは、財務情報と契約関連の情報だ。PIIはその次だ」(同氏)。
そのほかにも企業が守りたいと考えているIPとしては、調査結果での優先順に、ソースコード、競合情報、社内調査データ、設計仕様、顧客のPII、企業秘密、CRM(カスタマーリレーションシップ管理)データベース、特許関連文書、委託研究データなどがある。
こういったデータを保護するのが難しいのは、データが極めて多様な形式で存在するためだ。その多くは、社会保障番号やクレジットカード番号のように、すっきりとした定型フォーマットに収まらず、ネットワークのあちこちに置かれている。ESGの報告書では、調査対象の企業全体で21%のIPが社内の電子メールの中に存在することが明らかになった。17%が社内ポータルまたはイントラネット上に置かれ、34%はSAP、Oracle、SQL Serverなどのアプリケーションデータベースに格納されている。そして28%のIPは、スプレッドシートやWordドキュメントなどのファイルシステム内に保存されている。
「電子メールだけが問題だと考えているのであれば、問題の20%しか解決できないことになる」とオグレン氏は言う。
ネットワーク上に存在するIPを検索するのに、手作業と自動処理の両面で膨大なリソースが費やされている。報告書によると、調査対象企業の78%が少なくとも3カ月に一度、IPの電子バージョンの検索を行っている。
「これは相当な時間とリソースを投入していることになる。IPはさまざまな場所にさまざまな形式で存在し、さまざまなプロトコルを使ってやり取りされている」とオグレン氏は指摘する。
データ流出に関して何を最大の脅威と見なしているかという質問では、回答企業が最も恐れているのは悪意を持った社内の人間や不注意な従業員だ。回答企業の24%は、悪意を持った社内の人間が自社のIPを不正に流出させる最大の脅威であるとしているのに対し、社内の不注意な人間――例えば、自分の仕事にしか関心がなく、自分のノートPCに保存されているIPのリスクを理解していない従業員――が最大の問題だと考えている企業は34%だった。
この問題に関して、ハッカーが最大の脅威であると考えている回答企業は20%に過ぎなかった。そのほかの脅威としては、セキュリティの軽視(17%)や配布管理の欠如(5%)などがリスク要因として挙げられている。
報告書では、データ漏えいを防止するために4つのベストプラクティスを提案している。
ESGはまず、企業がIPとPIIの総合的要件を同時に定義するよう勧めている。そうすれば、一方の漏えい防止対策は他方の漏えい防止にもなる、と同社は主張する。
ESGによると、IPを防御する業務を細分化することも必要だという。これは、社内の人間による情報利用を監視する権限など、独立した業務監督権限をセキュリティチームに与えることを意味する。
さらにESGは、IPの検索に現在費やされている時間とコストを削減するために、この作業を自動化することを提案している。
最後にESGでは、エンドポイントセキュリティソフトウェアを配布するよりもネットワークベースのソリューションを推奨している。「この問題は、エンドポイントソフトウェアでは解決できないだろう。IPが存在するすべての場所にそれを配備することはできないからだ」(オグレン氏)
関連記事
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。