情報流出は防げない――ITプロの本音

[Deborah Rothberg，eWEEK]

　最近の調査によると、ITプロフェッショナルの3分の2近くが情報流出を防ぐことができないと感じているようだ。

　AOLおよびAT&Tのセキュリティ侵害事件が大々的に報じられたばかりだが、8月28日に発表された調査結果によると、自分の会社が情報漏えいの検出に有効な手段を持っていると考えているITプロフェッショナルはわずか37％だった。この調査は、ミシガン州エルクラピッズにあるプライバシー管理調査会社、Ponemon Instituteが実施したもの。

　回答者らは、情報漏えいを防止する上での障害として、リソースの不足や製品価格の高さなどを挙げ、自社が機密情報の流出を検出する能力があるかどうか疑問だとした。大規模な情報漏えい（1万件以上の顧客データの流出）については、自社は80％以上のケースを検出できると考えていると回答したのは43％に過ぎなかった。また、小規模な情報漏えい（100件以下の顧客データの流出）では、80％以上のケースを検出できるという回答は17％だった。

　コネティカット州スタンフォードにあるエンタープライズセキュリティ管理ソリューションのプロバイダー、Protegrityのゴードン・ラトキン社長兼CEOは、「スパムやウイルスの防止については、有効な対策が取れるようになってきた。しかし、銀行強盗では金が狙われるが、企業の場合、その金に相当するのがデータだ。企業は、防御の重点をネットワークの境界部から情報コンテンツへとシフトし始めている」と指摘する。

　通知を求めるプライバシーに関する法律がブランドや評判を落し、事故を公にするにもかかわらず、調査の回答者は、顧客やコンシューマーのデータの流出／盗難は2番目に深刻な情報漏えいとして位置付けている。企業にとってリスク、評判、コストの面で最も深刻な情報漏えいと見なされているのは、知的財産の流出／盗難であった。

　ラトキン氏によると、最近の情報漏えい事件の多くは、われわれの「セキュリティ文化」（同氏）の問題に起因するという。

　「セキュリティ文化が確立されていない。IT文化について言えば、今日、ウイルス対策ソフトを組み込んでいないPCや、ファイアウォールを備えていないネットワークは考えられない。しかし、防御対策を施していないデータベースを平気で作成しているのが実状だ。こういった部分の文化が未成熟なのだ。われわれはデータ以外のあらゆるものを防御しているという状態であり、文化的なシフトが必要だ」と同氏は述べている。

　回答者の66％は、センシティブな情報や機密情報の漏えいを防止するための技術を利用していると答えた。一方、こういった技術を利用していない企業では、コストを最大の理由に挙げている。コストが掛かりすぎるという回答は35％だった。手作業による対策で十分と答えたのは16％で、自社ではデータ漏えいの心配はないという回答も16％あった。回答者の12％は、既存のデータ漏えい防止技術は誤認率が高すぎると批判した。

　「彼らが十分な対策を講じていない理由としてコストを挙げているのは興味深い。Ponemonが先に実施した調査では、情報漏えい対策にかかるコストは平均1300万ドルだった。しかしわたしの推定では、今回のAT&Tの情報流出による損害額はそれをはるかに上回るだろう。企業は相変わらず、『うちは大丈夫』だと考えており、予防よりも防御の方を心配している」とラトキン氏は語る。

　回答者の多くは、自社ではコンプライアンスを正しく適用するための指導体制が確立されていない、あるいは十分なリソースがないと考えている。また、自社でデータ防御ポリシー／手順を用いた有効なコンプライアンス対策を進めていないとする回答は41％に上った。

原文へのリンク