“会社のために”セキュリティポリシーを破る従業員 内部不正はなぜ起こるのか？：CIO Dive

Ponemon Instituteは内部脅威に関する調査結果を発表した。調査によれば、従業員の3分の2は10営業日に1回、自社のセキュリティポリシーを無視しているという。

[Samantha Schwartz，CIO Dive]

　セキュリティベンダーのProofpointがスポンサーを務めるPonemon Instituteの調査によると、過去12カ月間に起きた内部不正インシデントの56％が、従業員の過失または不注意によるものだと明らかになった。

　2022年1月25日（現地時間）に公開された同調査は（注1）、インサイダー（内部関係者）が引き起こした重要なイベントを少なくとも1回経験した組織に在籍するITおよびセキュリティの専門家1000人以上を対象に実施された。

注1：2022年 内部脅威による損失：グローバルレポート

従業員はなぜセキュリティポリシーを破るのか？

　レポートによれば、従業員の過失に起因するインシデントの修復コストは、年間660万ドル（1件あたり約50万ドル）に達する。過失につながる行為としては、セキュリティ安全が確保されていないデバイスの使用や、セキュリティポリシーの無視、パッチの未適用などが挙がった。

　悪意のあるインサイダーによるセキュリティイベント被害は410万ドル、クレデンシャルの盗難による被害は460万ドル発生しているのみだが、個々のインシデントは高額になることが分かっている。悪意のあるインサイダーによるインシデントは全体の4分の1を占め、そのコストは65万ドル近くに達する。クレデンシャルの盗難発生数はインシデント全体の5分の1にとどまるが、1件当たりの平均コストは80万ドルを超える可能性がある。