多くの企業でデータ流出が年に6回も――ITPCGの調査で明らかに

最近の調査によれば、68%の企業で、1年間に6回もセンシティブなデータが流出したり盗まれたりしているという。

» 2007年03月08日 17時28分 公開
[Lisa Vaas,eWEEK]
eWEEK

 米小売大手TJXでの大量のデータ流出は氷山の一角に過ぎない。

 IT Policy Compliance Group(ITPCG)の最近の調査によれば、10社に7社近く(68%)の企業で、1年間に6回もセンシティブなデータが流出したり盗まれたりしている。さらに20%の企業では、センシティブなデータの流出が1年間で22回以上起きているという驚くべき数字が明らかになった。

 ITPCGはセキュリティ/コンプライアンスポリシーにフォーカスした業界団体で、メンバーにはInternal Auditors、Computer Security Institute、Symantecなどが含まれる。

 同団体は2006年8月から10月にかけて、201の組織におけるデータ流出の実態を調査した。

 調査対象の約3分の1は収入、資産または予算が5000万ドル未満の組織で、約3分の1が5000万〜4億9900万ドルの組織、そして30%が5億ドル以上の組織となっている。また、調査対象の90%は米国内の組織である。

 ITPCGの調査では、センシティブなデータが流出するのが1年間に2回未満というのは調査対象組織のうちの12%だった。

 ITPCGの調査責任者でSymantecのシニアリサーチマネジャーを務めるジェームズ・ハーリー氏によると、データ流出が最も少ない部類に入るこれらの組織では、ITセキュリティに関するデータやIT関連法規制の対象となるデータが組織内で最もセンシティブなデータに含まれると考えているという。

 「データ流出が非常に少ないこれらの組織の95%以上が、ITセキュリティ関連のデータが最も重要でセンシティブなデータであると考えている」とハーリー氏は米eWEEKの取材で述べている。「それ以外の多くの企業は、ITセキュリティに関するデータや監査関連情報が非常に重要であると見なしていない」

 「実際、財務データが組織内で最も重要でセンシティブなデータであるとした企業では、データ流出が多いことが明らかになった」とハーリー氏は話す。

 「10社のうち7社、つまり大多数の企業が、顧客データなどの情報を重要視しているが、監査関連データを重視している企業は少ない」と同氏は指摘する。

 ハーリー氏によると、聖域への鍵を守ることを重視している組織、すなわち誰がデータにアクセスできるかを把握し、データへのアクセスを入手する方法に関する知識を保護している組織は、比較的「成績優秀」であることが調査で明らかになったという。

 「Taking Action to Protect Sensitive Data」(センシティブなデータを防御するための対策」と題されたこの報告書によると、最もセンシティブなデータの流出は、顧客データ、財務データ、従業員データおよびITセキュリティデータに関するものだ。同報告書は3月8日にリリースされる。

 もう1つの意外とも言える調査結果は、データ流出の主要な原因がユーザーのミスであるということだ。2番目の主要原因はポリシー違反である。インターネット上の脅威/攻撃/ハッキングは第3位に過ぎなかった。

 データ流出の形態に関しては、デバイスの紛失(デスクトップ、ノートPC、モバイルデバイスなどの紛失)が最も多かった。データ流出の経路として2番目に多いのが、電子メールやIM(インスタントメッセージング)などの電子的通信手段だった。3番目に多いデータ流出経路は、ソフトウェアアプリケーション(データベースやそのベースとなるシステムなど)となっている。

 ハーリー氏によると、この調査で最も興味深い結果の1つが、監視に関するものである。コンプライアンスとITセキュリティがしっかりしている組織(これらはデータ流出の発生が最も少ない組織でもある)では、少なくとも1カ月に一度は、さまざまなコントロール手段を通じて監視を行っていることが分かったという。

 「データ流出防止の成績が優秀な企業では、監視の頻度を増やしているようだ」と同氏は指摘する。成績が良くない組織では、ITセキュリティのコントロールやデータ流出時に何が起きたかを示す証拠となるログを重視していないという。

 データ流出は高くつくことも調査で明らかになった。データの流出や漏えいを公表した企業は、流出の発表、顧客への通知、データの復旧などの経費の支出を強いられた。データ流出に伴う売り上げ減少は平均で8パーセントだった。顧客への通知、後始末、データ復元などにかかった費用は、記録1件当たり100ドルだった。

 ハーリー氏によると、データ流出を防ぐための確実な方法は存在しないという。米国議会では最近、データ流出の報告に関する法律を強化し、それをデータ暗号化などの特定技術に結び付けようという議論が起きているが、ITPCGでは、こういった対策は問題の上っ面をなでるに過ぎないと批判的だ。

 データ流出を最小限にとどめている企業では、多数の技術を利用することが状況の改善につながったとしている。

 こういった企業では、インターネットスレットコントロール、ネットワークアクセスコントロール、データベースアクセスコントロール、IT資産管理、構成管理など、ありとあらゆる手段を通じてデータを保護している。

 「データ流出防止に関して優秀な企業は、これらの手段をほとんどすべて利用している」(ハーリー氏)

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ