「情報漏えいを引き起こす内部関係者」の半数以上は“あんな人”：「セキュリティ意識向上研修」の効果を高める方法【第1回】

Proofpointが発表した調査レポートによると、内部関係者に起因するデータ侵害の頻度が高まっている。その半数以上は内部関係者の“ある行動”によって引き起こされている。その行動と対策とは。

[Isabella Harford，TechTarget]

　企業はセキュリティを強化するためのさまざまな技術や製品を検討する。だが実のところ、セキュリティの弱点は「人」に左右される。

　セキュリティベンダーProofpointは2022年1月、調査レポート「2022 Ponemon Cost of Insider Threats Global Report」を公開した。同社が調査会社Ponemon Instituteに依頼して実施したもので、調査レポートによると「『内部脅威』によるデータ侵害」（内部関係者や内部関係者が保有する認証情報に起因するデータ侵害）の頻度が高まっている。

　Proofpointは「内部関係者が原因となったセキュリティ侵害」を過去に1回以上経験している、278社1004人のIT担当者およびITセキュリティ担当者に、インタビュー形式で調査を実施した。調査対象地域は欧州、中東、アフリカ、アジア太平洋地域。

データ侵害を引き起こす内部関係者の半数以上は“あんな人”

併せて読みたいお薦め記事

「セキュリティ」関連の注目トピック

• “役立たずのWindows Defender”が「Microsoft Defenderウイルス対策」になって大人気の謎
• 無料で使える「Microsoft Defenderウイルス対策」のスキャン機能は使い物になるのか？
• Windowsの無料セキュリティ「Defender」シリーズ　主要ツールの違いは？

　今回の調査レポートが定義する「内部脅威によるデータ侵害」は以下の内容だ。

• 従業員をはじめとする内部関係者の過失、不注意によるもの
• 内部犯罪者か、悪意を持った内部関係者によるもの
• 窃取された認証情報に起因するもの

　調査レポートによると2021年に調査対象者の企業で起こったデータ侵害で、内部脅威に起因する事案のうち、56％が「不注意な内部関係者」によって引き起こされていた。不注意な内部関係者には、

• セキュアでないデバイスを使用する従業員
• セキュリティポリシーを無視したり、セキュリティポリシーに従わなかったりする従業員
• ソフトウェアやデバイスにパッチや更新を適用しない従業員

が含まれる。それ以外の内部脅威によるデータ侵害は、「悪意のある攻撃者」（26％）や「ユーザー資格情報の窃取」（18％）に起因していた。

　「サイバー犯罪者はソーシャルエンジニアリングの専門家だ。従業員をだまして、攻撃を開始するための悪質なリンクをクリックさせる」と調査会社Gartnerのディレクターアナリスト、ウィリアム・キャンドリック氏は言う。

　セキュリティ専門家は、ソーシャルエンジニアリングが最大のリスクであることを知っている。「だがセキュリティ専門家は概して従業員がだまされるのを防ぐために苦労している」とキャンドリック氏は指摘する。

　不注意や悪意による内部脅威と戦い、それらによる被害を防ぐため、企業は「セキュリティ意識向上研修」に頼りがちだ。だがセキュリティ意識向上研修は、意図した効果が出ないことがある。こうした背景から研修の有効性と効果が疑問視されるようになっている。

---

　第2回は、セキュリティ意識向上研修の効果が出にくい理由を紹介する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。