SCAN 編集部では、読者を対象に内部情報漏洩に関するアンケート調査を実施した。 最近立て続けに発生した個人情報の漏洩を見るまでもなく、内部情報漏洩は企業にとってきわめて重要な課題である。 今回のアンケートではユーザ企業のシステム担当者を中心に内部情報漏洩問題に対する認識と対策の現状と今後について調査した。 今回はその解説の2回目である。その概要は下記である。>> 内部情報漏洩対策の決め手はまだない 人的ミスと管理強化が当面の策 内部情報漏洩の対策がふじゅうぶんな理由としてもっとも多かったのは「適切なツールや方法論がない」であった。 問題となる内部情報漏洩の原因として人的ミスや管理不行き届きがあげられていたことを考えると、こうした管理面での問題に対処するための適切なツールや方法論が確立されていないという認識をもつ回答者が多かったと想定できる。>> 回答者の24%が内部情報漏洩を体験 原因は人的ミスと管理不行き届き 1年以内に自社で内部情報漏洩が発生したという回答は全体の24%あり、その原因は人的ミスと管理不行き届きであった。内部情報漏洩対策で必要なものとしてあげられたものと一致する。>> 内部情報漏洩の具体的な対策は社員教育(48%)とセキュリティポリシー(46%)、危機感の高さと対比して「特に対策なし」(19%)が目立つ 内部情報漏洩対策の具体的な内容として「社員教育の徹底」と「セキュリティポリシーの策定」をあげる回答者が多い。人的ミスや管理不行き届きが主な原因となっていることから社員の意識の啓蒙や管理ルール(セキュリティポリシー)などが有効と考えられていると思われる。 今後、予定している対策としても同じ項目があげられている。 しかし、その一方で現状ならびに今後「特に対策なし」(現状19%、今後26%)という回答が上位にきている。前回見たように内部情報漏洩対策の必要性についてはじゅうぶん認識しているにもかかわらず、「特に対策なし」という回答が多かったのは「適切なツールや方法論がない」ことに加えて「必要性を理解していない」ことが原因と考えられる。4.内部情報漏洩の実態と課題>> 適切なツールや方法論がない 前回見たとおり、内部情報漏洩に関しての危機感は高いものの、じゅうぶんな対策がなされていないのが現状である。 では、なぜ、対策をとらないのだろうか? ・対策がふじゅうぶんな理由 適切なツールや方法論がない 41.67% 必要性を理解していない 30.56% 予算がない 13.89% 担当者がいない 9.72% わからない 4.17% 圧倒的に多かった回答は「適切なツールや方法論がない」である。ついで多いのが「必要性を理解していない」=社内での理解が足りないため、対策を講じることができないという意見である。 別な質問では、内部情報漏洩は人的ミスと管理上の問題に起因するものがほとんどという認識がある。人的ミスや管理上の問題を解決するためのツールや方法論がまだまだ確立されていないという認識なのであろう。>> 問題となる内部情報漏洩は人的ミスと管理上の問題 外部よりも内部が心配 内部情報漏洩にはさまざまなルートがある。ここでは代表的なものを選択肢としてあげて、その中から問題と思われるものを選んでもらった。 人的ミスによる内部情報漏洩を危惧する回答は87%、管理上の問題に起因する情報漏洩を危惧する回答は77%ときわめて多かった。ついで多いのは、内部の人間が意図的に漏洩するパターンであり、外部からの攻撃を危惧する回答は少なかった。 ・問題となる内部情報漏洩 人的ミスによる情報漏洩 86.9 % 管理上の問題による情報漏洩 77.38% オフラインでの情報漏洩(意図的漏洩) 63.1 % メールで外部に向けて送付(意図的漏洩) 48.81% ネット経由で外部に受渡(意図的漏洩) 42.86% 参加型サイト書き込み(意図的漏洩) 35.71% 侵入や攻撃 34.52% スパイウェアや盗聴ソフト 30.95% 事件化した内部情報漏洩事件を見ても多くは人的ミスや管理上の問題に起因すると思われるものであり、実態と意識の一致が見られる。>> 社内で発生した内部情報漏洩とその原因 人的ミスと管理不行き届き 実際に内部情報漏洩が1年以内に発生したかを聞いた質問では、24%があったと回答している。事件化し、報道されているもの以上に、内部情報漏洩は発生していると考えてよいだろう。 くわしく見てみると内部情報漏洩対策がふじゅうぶんな理由として「必要性を理解していない」をあげた回答者の中で1年以内に内部情報漏洩が発生したのは、36%となっている。これは全体の24%より多く、「適切なツールや方法論がない」(13%)や「予算がない」(20%)よりも多くなっている。内部情報漏洩問題への認識の徹底の度合いによって、事件発生の率も変わってくるのかも知れない。 ・1年以内の内部情報漏洩 ある 23.81% ない 76.19% 発生した情報漏洩問題の原因でも人的ミスと管理上の問題をあげる回答が多い。半数以上が人的ミスとなっている。また、これら以外の情報漏洩では内部の人間による意図的な漏洩が多い。 ・内部情報漏洩の原因 人的ミスによる情報漏洩 65% 管理上の問題による情報漏洩 40% メール送付(意図的漏洩) 25% オフラインでの情報漏洩(意図的漏洩) 20% 参加型サイトへ書き込み(意図的漏洩) 15% 侵入や攻撃 5% ネット経由で受渡(意図的漏洩) 5% スパイウェアや盗聴ソフト 0%>> 内部情報漏洩対策の重要項目は社員教育と監視強化、ポリシー策定、チェック機構 一方、対策として有効と考えられているものは、社員教育の徹底(45%)が特に多い。問題として認識され、実際の原因としても人的ミスがトップになっている以上、当然の防止策といえる。ついで多いのは監視ツールの設置やセキュリティポリシーの策定であるが、社員教育の徹底の45%に比べると大きく落ちる。 ・防止策としてとくに有効と思うもの(10%以上の回答) 社員教育の徹底 45.24% 監視ツールの設置(メールやWEB閲覧) 16.67% セキュリティポリシーの策定 14.29% チェック機構の整備 11.9 % 「監視ツールの設置(メールやWEB閲覧)」についての回答では、自社の内部情報漏洩対策でじゅうぶんな対策がとられていると答えた回答者とじゅうぶんではないと回答した回答者で違いがでた。じゅうぶんな対策がとられていると回答した回答者のうち「監視ツールの設置(メールやWEB閲覧)」を有効と回答した比率は8%であったが、じゅうぶんな対策がとられていないと回答した回答者の比率は18%となっている。このことから、一概にはいえないが、内部情報漏洩対策により多くの対策を求める回答者ほど、現状をふじゅうぶんと感じている逆説的な可能性もある。 実際に社内で行っている対策としては、ファイアウォールの設置(52.38%)、社員教育の徹底(47.62%)、セキュリティポリシーの策定(46.43%)となっている。 ファイアウォールやセキュリティポリシーについては、有効な対策としての認識は低いので、内部情報漏洩以外の目的で導入されているものと思われる。このことを勘案すると、実際に実施している対策としても社員教育が群を抜いて多いことになる。 特に対策を行っていない回答が20%近くあるのも、内部情報漏洩対策の必要性の認識(内部情報漏洩対策は必要という回答 95%、前回記事参照)と比較するとかなりギャップがある。必要性をわかっていても実際には対策が行えていない実態が浮き彫りになった。 ・社内で行っている対策(10%以上の回答) ファイアウォールの設置 52.38% 社員教育の徹底 47.62% セキュリティポリシーの策定 46.43% チェック機構の整備 29.76% URLフィルタリングのアクセスの制限 23.81% マークや認証の取得 22.62% 監視ツールの設置(メールやWEB閲覧) 22.62% 特に対策を行っていない 19.05% 社内規定で罰則を設ける 19.05% (プライバシーマークなど) メールフィルタリング 13.1 % 自社の内部情報漏洩対策でじゅうぶんな対策がとられていると答えた回答者とじゅうぶんではないと回答した回答者で「チェック機構の整備」と「ファイアウォールの設置」について差異があった。「チェック機構の整備」については、じゅうぶんな対策をとっていると回答した回答者の比率が9%ほどふじゅうぶんと回答した回答者よりも多かった。「ファイアウォールの設置」に関しては逆となっている。このことから「チェック機構の整備」は内部情報漏洩対策上重要と見られており、「ファイアウォールの設置」はすは見られていないと思われる。 一方1年以内に実施、導入予定の対策では、社員教育とセキュリティポリシーという回答が多い。 新たな対策の予定がないという回答も26%を占めており、対策がふじゅうであるにも関わらず、対策の強化を進めることができない状況がわかる。 ・1年以内に実施、導入予定の対策(10%以上の回答) 社員教育の徹底 32.14% セキュリティポリシーの策定 26.19% 特に新たな対策の予定なし 26.19% チェック機構の整備 17.86% マークや認証の取得 17.86% メールフィルタリング 17.86% 監視ツールの設置(メールやWEB閲覧) 16.67% 社内規定で罰則を設ける 14.29% (プライバシーマークなど) 次回は、内部情報漏洩に効果があるといわれているURLフィルタリングの利用状況などについてみてみたい。◇内部情報漏洩に関するアンケート調査結果 その1(2004.4.7) https://www.netsecurity.ne.jp/article/1/12744.html──本記事は Scan Security Wire からの転載ですhttp://ns-research.jp/c2/shop/e-zine/ssw.shtml
