日本企業は従業員を“信頼しすぎ”？ 情報漏えいのリスクと現状をProofpointが調査：セキュリティニュースアラート

日本プルーフポイントは日本企業の情報漏えいに関する調査レポートを発表した。データ漏えい対策の現状と内部脅威への対応、ユーザーの不注意や電子メールの誤送信、生成AIの影響などが分析されている。

[後藤大地，有限会社オングス]

　日本プルーフポイントは2024年4月22日、日本企業の情報漏えい状況について調査結果「Data Loss Landscape 2024（情報漏えいの全容）」を公開した。

日本企業は従業員を“信頼しすぎ”？　情報漏えいリスクと企業の現状を調査

　情報漏えい対策（DLP）において、内部脅威やデータ拡散、執拗（しつよう）な攻撃者、生成AIといったリスクを日本企業がどう捉えているか。また、情報漏えいを引き起こす主要な原因がユーザーの不注意や電子メールの誤送信であることが調査から明らかになった。

　公開されたレポートの概要は以下の通りだ。

• 情報漏えいは広範かつ予防可能な問題：　1カ月に1件以上のインシデントが発生しており（過去1年間における1組織当たりの情報漏えいインシデントの平均は15件）、日本の回答者の76％（世界平均70.6％）が情報漏えいの主な原因として「ユーザーの不注意」と回答している。ユーザーの不注意は予防可能とされ、DLPポリシーを導入することで軽減できる
• 最も単純かつ重大な情報漏えいの原因は電子メールの誤送信：　セキュリティ企業Tessianの2023年のデータによると、従業員の約3分の1が約2通の電子メールを間違った宛先に送っている。これらの誤送信メールに個人データが含まれる場合、欧州連合（EU）の「EU一般データ保護規則」（GDPR）や日本の個人情報保護法に違反し、結果として多額の罰金が科される可能性がある
• 生成AIは最も急速に成長している分野：　「ChatGPT」「Grammarly」「Bing Chat」「Google Bard」などのAIツールの性能と実用性が高まっており、これらのアプリケーションに機密データを入力するユーザーが増加している
• 悪意のある行動の結果、大きな損害が発生する可能性がある：　情報漏えいインシデントの背後に悪意のある従業員や契約業者といった内部関係者が潜んでいると答えた回答者は、日本ではわずか5％（世界平均20％）だった。組織に損害を与えようとする悪意のある行為や離職した従業員は、個人的な利益を動機としているため、不注意な内部関係者よりもさらに大きな影響を及ぼす可能性がある
• 日本の回答者は、退職する従業員をリスクの高いユーザーと見なしていない：　退職者をリスクの高いユーザーと見なしている日本の回答者は、わずか17％（世界平均28.7％）だった。Proofpointのグローバルデータによると9カ月間にクラウドテナントで発生した異常なファイル持ち出しの87％が退職した従業員によるものであり、このようなユーザーに対してセキュリティレビューのプロセスを導入するなどの予防策が必要であることが明らかになっている
• 特権アクセスのあるユーザーは最も危険：　回答者の57％が機密データにアクセスできる従業員が情報漏えいの最大のリスクであると認識している（世界平均63％）。Proofpointのグローバルデータによると1％のユーザーが情報漏えい事案の88％を引き起こしているとし、組織はデータを分類してビジネスクリティカルなデータや「重要機密情報」を特定し保護すること、機密データや管理者権限にアクセスできる人を監視することなど、ベストプラクティスを優先する必要となる
• 組織の情報漏えい対策プログラムは成熟しつつある：　多くのプログラムが法的規制に対応するために当初導入されたが、調査回答者の48％（世界平均50％超）は顧客と従業員のプライバシーの保護を主な要因として挙げており、これは情報漏えいに関連するコストの最小化（47％）と並んでいる。また「知的財産の保護」（44％）もDLPプログラム構築の主要因となっている

　同レポートによると、DLPソリューションへの投資は進んではいるが不十分であり、日本の調査対象組織の81％（世界平均85％）が過去1年間に情報漏えいを経験しているという。被害を受けた組織の10社中8社以上（世界平均10社中9社以上）が事業の中断や収益の損失（被害を受けた日本の組織の65％が報告）、競争上の地位の低下（43％）、風評被害（30％）といった否定的な結果に直面している。