「盗まれるデータはない」と思い込む企業は“あれ”を見落としていないか？：セキュリティによくある5つの誤解【第4回】

データを盗難や流出から守る対策は全ての組織にとって不可欠だ。しかし残念ながら、自社データのリスクを正しく判断できていない組織がある。その誤解をどう改めればいいのか。

[Neil Langridge，TechTarget]

　セキュリティ対策を巡るさまざまな誤解がある。自社のデータが攻撃者にとって魅力的なものではないと考えてしまうこともその一つだ。全ての組織が講じなければならないデータ保護策とは何か。本稿は、セキュリティの5つの誤解のうち、4つ目を紹介する。

4．「盗まれるようなものは何もない」

併せて読みたいお薦め記事

連載：セキュリティによくある5つの誤解

• 第1回：「うちは攻撃されない」の誤解こそが“被害案件の元凶”だった？
• 第2回：「マルウェア対策ソフトがあるから安全」の過信が招く“思わぬ事故”とは
• 第3回：セキュリティ予算がないなら「高額＝安全」の呪縛を解いて出直すべし

セキュリティにまつわる「誤解」とは

• セキュリティ製品を爆買いすればセキュリティが高まると勘違いしていないか？
• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由

　自社のデータの価値を過小評価し、攻撃者に狙われるようなことはないと考える企業がある。しかしこれは誤解だ。どのような企業でも、顧客情報や従業員の個人情報、財務情報など、攻撃者にとって魅力的になり得る情報を扱っている。データの価値とは別に、コンプライアンス（法令順守）の観点からもデータ保護策を講じることは欠かせない。

実例

　バーミンガムの小規模物流会社は攻撃を受け、顧客の配送情報が盗まれた。攻撃者はこの情報をダークWeb（通常の手段ではアクセスできないWebサイト群）で販売。詐欺事件が発生し、会社の信頼は失われた。

対策

• データのインベントリ化
  • 企業が扱っている全てのデータを棚卸しし、重要度に応じて適切な保護措置を講じる。
• アクセス制御
  • 機密データへのアクセスを、業務に必要な従業員に限定する。

---

　第5回は、5つ目の誤解にフォーカスする。

Computer Weekly発　世界に学ぶIT導入・活用術

米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。