社内のセキュリティ対策を進めていった場合、ソフトウェアや機器などの導入により外部からの脅威に対してはある程度の態勢が整う。しかし、見落とされがちなリスク要因がまだある。それは「従業員」である。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「We Live Security」の記事を基に、日本向けの解説を加えて編集したものである。
従業員が企業のサイバーセキュリティに対する最大の脅威の一つとなっている、という調査内容をオーストラリアのセキュリティ調査会社Nuix社は公表している。
「情報防衛:企業がリーダーシップを発揮して情報保護の習慣を見直せばサイバーセキュリティは企業の内部に向かうことになる」と題したその論文で、93%の回答者が自社のスタッフこそがセキュリティ上の最大の危険因子であると答えている、と報告されているのである。
このアンケートの結果の数字から判断すると、企業側がさまざまなテクノロジーを活用しガイドラインをしっかりと確立してセキュリティ対策を行っているとしても、企業内部の脅威は依然としてセキュリティを揺るがす元凶であり続けている、と考えていいだろう。
この問題に対処する最善の戦略は何かという質問に対して、実に39%の回答者は単に「恐れること」をリスク軽減の最も有効な手段の一つとして引き合いに出した。
こういった事態に対して、2015年の1年間で企業の情報セキュリティ担当者の間には重要な変化が現れてきている、とNuix社は見ている。
内部の脅威に対処する必要がますます大きくなってきており、この脆弱性を前提とした一連のポリシーをすでに自分たちはつくってある、と71%のセキュリティ担当者が答えているのだ。
Nuix社でビジネス上の脅威についての情報分析部門をまとめている副社長のキース・ラウリー(Keith Lowry)氏は次のように述べている。
「このレポートの調査結果は何ら驚きではない。回答者たちが言っていることは私たちが顧客に対して日々アドバイスしている問題や懸念と同じものだ」
「まず、内部の脅威に対する関心の強さは、チェルシー・マニング(※1)(Chelsea Manning)やエドワード・スノーデン(※1)(Edward Snowden)の一件によるところが大きいでしょう。情報を盗むことはたやすく、例えば数秒あれば重要なデータをUSBメモリにコピーできてしまうものです」
※1 マニングは米陸軍兵士時代に数多くの機密文書をウィキリークスを通じて漏えいさせ、有罪判決を受けたことで知られる。またスノーデンは米CIAおよびNSA局員であったが、NSAの情報収集の手口を公にしたために逮捕命令が発動され、ロシアに亡命したことで知られる。
この調査内容から判明する重要なことは、「BYOD」(=自分のデバイスを社内に持ち込むこと) が一般的になってきていることである。従業員はスマートフォンやタブレットなど、自分のデバイスを職場に持ち込んで使用することを奨励されているのだ(※2)。
※2 一般財団法人日本情報経済社会推進協会「企業IT利活用動向調査2015」によれば、国内企業におけるスマートフォン、タブレットに関するBYODの実施率が30%台であるのに対して、「試験的に実施」を含めた会社支給の導入率は55%程度となっている。
今や回答者のうちの84%がBYODポリシーを持つ会社に勤めている、とNuix社は説明する。この数字は2014年では69%であった。わずか1年で15ポイントも上昇しているのである。
「BYOD」というスタイルは企業にとっても実用的で有益なものではあるかもしれない。だが、一定のセキュリティ上のリスクを抱え込むことを同時に意味していることは忘れてはならないだろう。
