ドライバーは、速度制限は良い考えであり、誰もがそれを守るべきだと信じている傾向があります。制限速度を破ると事故のリスクが高まることは理解しています。しかし同時に、真の危険をもたらすのは、速度制限を破る他のドライバー自身であることも「知っている」のです。
サイバーセキュリティにおける内部脅威に関しても、同様の考え方が見られるようです。生産性向上のプレッシャーにさらされている人々は、セキュリティポリシーを積極的に回避する際に、自らを組織にとっての「脅威」と捉えることは滅多になく、むしろ自らが率先して行動していると考えているようです。
最近、我々はまたもや見出しを飾るデータ流出を目にした。ブリティッシュ・エアウェイズが38万件の支払いカード情報の盗難を認めたのだ。また、規模は小さいが同様に迷惑な英国テレビライセンス局も、ここ数週間にオンラインでテレビライセンスを購入した国民4万人の詳細情報の漏洩の可能性について謝罪した。
敵は往々にして内部に存在し、こうした敵の行動はブリティッシュ・エアウェイズや英国テレビライセンスのそれよりも多く、報道も少ないということをタイムリーに思い出させてくれる、今年初めの2つの報告書に手を伸ばしてみる価値はある。
不注意な行動
セキュリティチームが、権限のない部外者がネットワークにアクセスできないように防御を強化することに取り組んでいる一方で、海賊版メディア、ファイル共有サイト、企業の技術のずさんで気軽に便利な使用が、企業をあらゆる種類のリスクにさらしている。
Veeamは、データベース漏洩は単なる「油断」だったと認めた。
続きを読む
ポネモン・インスティテュートの2018年版「内部脅威のコスト」レポートによると、内部脅威の64%はユーザーの不注意に起因するものでした。インシデント件数も増加傾向にあり、従業員または請負業者の過失によるインシデント件数は平均10.5件から13.4件に増加しました。
さらに詳しく見ると、2018年版インサイダー脅威インテリジェンスレポートでは、Dtex Systems YouGovのアンケート調査の回答者の75%が、機密文書の共有に暗号化ファイル システムを使用することが重要であると認識しているものの、過去60日間に実際にそれを実行したのはわずか16%であることがわかっています。
ウイルス対策ソフトウェアの更新については、85%が重要だと認識しているものの、実際に更新したのは37%にとどまっている。二要素認証については69%が認識しているものの、実際に使用しているのは30%にとどまっている。仕事用のログイン認証情報を変更する必要があることは71%が認識しているものの、実際に変更しているのは42%にとどまっている。
報告書は次のように述べている。「従業員は組織のセキュリティを守るためにできる限りのことを行っていないことを認識しているにもかかわらず、回答者のほぼ4分の1(23%)は依然として、組織の情報が漏洩することは決してないだろうと考えている。」
単純なセキュリティ衛生を実践していないことに加え、強調されている不注意な行動には、機密データをファイル共有サイトに置くこと、ファイルを転送するために暗号化されていないUSBを過度に使用すること、セキュリティ権限を悪用する事例の増加、高リスクアプリケーションの使用の増加などがあります。
より一般的な危険なアプリとしては、uTorrent、WireShark、Powershell、Ccleaner、SnippingTool、FreeWatch、DontSleep、PDF コンバーター、Caffeine などがあります。
報告書は次のように述べている。「セキュリティ回避と同様に、高リスクアプリケーションの使用は、しばしばより深刻な事態の警告サインとなる。ユーザーは通常、セキュリティ対策を回避したり、海賊版メディアをダウンロードしたり、あるいはより悪質な活動に従事したりするために、このようなアプリケーションをインストールする。」
私をこんな風にしないで
人的要因に関して言えば、企業は出入りする従業員の管理において責任を負わないわけではありません。企業は、情報窃盗を防ぐため、組織内のハイリスク従業員の監視に多大な労力を費やすことがよくあります。ハイリスク従業員とは、退職する人、人員整理を控えている人、不満を抱えている人などです。しかし、前職の従業員から盗まれたデータを持ち込む入社者からも、同様のリスクが生じる可能性があります。
今年、裁判所に持ち込まれた最も注目を集めた事件の一つとして、Uberが自動運転技術LiDARに関する知的財産権の窃取を企てたとされる訴訟の和解の一環として、Waymoに2億4,500万ドルの株式を支払った事件が挙げられます。Uberは、元Waymo従業員が設立した会社に6億ドル相当の株式を支払っていましたが、その後、これがアルファベット傘下のWaymoから1万4,000件の機密ファイルを窃取する計画の一環であったと疑われました。
UberとGoogleのWaymoとの和解に至った2億4500万の理由
続きを読む
新入社員が盗まれたデータを社内に持ち込んだ事例が裁判にまで発展することは稀です。Dtex社は、新入社員が大量の設計ファイルを顧客にインポートしていたことを2度発見しましたが、そのファイルは競合他社のファイルだったことが判明しました。同社は「盗まれたデータのインポートを捕捉し、法的問題に発展する前に事態を収拾することができました」と述べています。
悪意と不運
しかし、もっと一般的なケースはどうでしょうか?Ponemon社は、従業員や請負業者の過失は、年間コストベースで資格情報の盗難よりもコストが高いと見積もっています。
いくらかかるでしょうか?規模によって異なります。従業員数7万5000人以上の企業は、昨年、問題解決に平均210万ドルを費やしました。従業員数500人未満の企業は、平均180万ドルを費やしました。
ワークライフバランスが変化し曖昧になり、ユーザーが仕事のデータにアクセスする手段としてモバイルやクラウドが魅力的になるにつれ、過去のデータに基づくと、偶発的な侵害や漏洩の件数は増加するはずです。
セキュリティ部門が人的要因をどのように管理し、リスクの高い個人をどのように特定して管理するかが、ますます重要になっています。
スピード違反切符と同等の罰を与えても問題は解決しません。®
