プルーフポイント、第1回レポート「Data Loss Landscape 2024(情報漏えいの全容)」の日本語版を発表、不注意な従業員が組織最大の情報漏えい問題であることが明らかに
日本の組織の81%が過去1年間に情報漏えいを経験し、そのうちの65%が事業の中断や収益の損失を被った
サイバーセキュリティとコンプライアンス分野のリーディングカンパニーである日本プルーフポイント株式会社(本社:東京都港区、代表取締役社長:茂木正之、以下プルーフポイント)は、「Data Loss Landscape 2024(情報漏えいの全容)」と題した第1回レポートの日本語版を発表しました。本レポートは、情報漏えい対策(DLP: Data Loss Prevention)および内部脅威に対する現在のアプローチが、データ拡散、執拗な攻撃者、生成AIといった現在のマクロな課題に対してどのように対処しているかを調査したものです。調査結果では、情報漏えいは人と機械の相互作用に起因する問題であり、「不注意なユーザー」が、侵害されたシステムや設定ミスのシステムよりもはるかにインシデントを引き起こす可能性が高いことが明らかになりました。
DLPソリューションへの投資が進む一方で、プルーフポイントのレポートによると、こうした投資は不十分な場合が多く、日本の調査対象組織の81%(世界平均:85%)が過去1年間に情報漏えいを経験しています。被害を受けた組織の10社中8社以上(世界平均:10 社中 9 社以上)が、事業の中断や収益の損失(被害を受けた日本の組織の65%が報告)、競争上の地位の低下(43%)、風評被害(30%)といった否定的な結果に直面しています。しかし意外にも、プルーフポイントの情報保護プラットフォームのデータによると、アラートの88%はわずか1%のユーザーによるものということも判明しています。
調査概要:
本レポート「Data Loss Landscape 2024(情報漏えいの全容)」は、世界12カ国(日本、アメリカ、韓国、シンガポール、オーストラリア、ブラジル、フランス、ドイツ、イタリア、スペイン、イギリス、アラブ首長国連邦)における、従業員数1,000人以上の17業種にわたる組織のセキュリティ担当者600人に対するサードパーティーによる調査の回答を精査したものです。これらの洞察は、プルーフポイントの情報保護プラットフォームと、プルーフポイントが昨年秋に買収したTessianのデータで補足され、組織が直面する情報漏えいと内部脅威の規模を伝えています。
日本における主な調査結果:
情報漏えいは広範かつ予防可能な問題:
日本の組織では、1カ月に1件以上のインシデントが発生しており(過去1年間における1組織あたりの情報漏えいインシデントの平均は15件)、日本の回答者の76%(世界平均:70.6%)が、主な原因はユーザーの不注意であると答えています。不注意とは、メールの誤送信、フィッシングサイトへのアクセス、未承認ソフトウェアのインストール、個人アカウントへの機密データのメール送信などです。 これらはすべて予防可能な行動であり、電子メール、ウェブアップロード、クラウドファイルの同期、その他の一般的なデータ流出方法に対する情報漏えい対策(DLP)ポリシーのルールを導入するなどの実践によって軽減することができます。
最も単純かつ重大な情報漏えいの原因のひとつはメールの誤送信:
Tessianの2023年のデータによると、従業員の約3分の1が約2通のメールを間違った宛先に送っています。つまり、従業員5,000人を擁する企業であれば、年間約3,400通のメールが誤送信されることになります。誤送信されたメールに従業員、顧客、または患者のデータが含まれていれば、GDPR(EU 一般データ保護規則)などの法的枠組みのもとで多額の罰金が課されたり、日本の個人情報保護法の違反にあたる場合があります。
生成AIは最も急速に成長している分野:
ChatGPT、Grammarly、Bing Chat、Google Bard などのツールの性能と実用性が高まっており、これらのアプリケーションに機密データを入力するユーザーが増加しています。「生成 AI サイトの閲覧」は、プルーフポイントの情報保護プラットフォームを使用している組織で設定されている DLP&内部脅威アラートルールのトップ 5 に入っています。
悪意のある行動の結果、大きな損害が発生する可能性がある:
情報漏えいインシデントの背後に悪意のある従業員や契約業者といった内部関係者が潜んでいると答えた回答者は、日本ではわずか5%(世界平均:20%)でした。組織に損害を与えようとする悪意のある行為や離職した従業員は、個人的な利益を動機としているため、不注意な内部関係者よりもさらに大きな影響を及ぼす可能性があります。
日本の回答者は、退職する従業員をリスクの高いユーザーとして見なしていない:
退職する従業員は、必ずしも自分が悪意を持って行動しているわけではなく、単に自分が作成した情報を持って退職する権利があると考えている人もいます。退職する従業員をリスクの高いユーザーと見なしている日本の回答者は、わずか17%(世界平均:28.7%)です。一方で、プルーフポイントのグローバルデータによると、9ヶ月間にクラウドテナントで発生した異常なファイル持ち出しの87%が、退職した従業員によるものであり、このようなユーザーに対してセキュリティレビューのプロセスを導入するなどの予防策が必要であることが明らかになっています。
特権アクセスのあるユーザーは最も危険:
日本の回答者の 57%(世界平均:63%)は、人事や財務担当者など、機密データにアクセスできる従業員が情報漏えいの最大のリスクであると見なしています。さらに、プルーフポイントのグローバルデータによると、1%のユーザーが情報漏えい事案の 88% を引き起こしています。これらの調査結果から、組織はデータクラシフィケーションを使用してビジネスクリティカルなデータや「重要機密情報」を特定し保護すること、機密データや管理者権限にアクセスできる人を監視することなど、ベストプラクティスを優先する必要があることが分かります。
組織の情報漏えい対策(DLP)プログラムは成熟しつつある:
多くのプログラムが法的規制に対応するために当初導入されましたが、日本の調査回答者の48%(世界平均:50%超)は、顧客と従業員のプライバシーの保護を主な要因として挙げており、これは情報漏えいに関連するコストの最小化(47%)と並んでいます。また、「知的財産の保護」(44%)もDLPプログラム構築の主要因となっています。
プルーフポイント米国本社のサイバーセキュリティ戦略チーフオフィサー、Ryan Kalember(ライアン・カレンバー)は次のように述べています。「この調査は、情報漏えい問題の最も重要な側面、すなわち人為的な原因を明らかにするものです。生成AIツールが一般的なタスクを吸収し、その過程で機密データにアクセスする一方で、不注意なユーザー、危険なユーザー、悪意のあるユーザーがインシデントの大部分を引き起こしており、今後もその傾向は続くでしょう。組織は、クラウド、エンドポイント、メール、ウェブなど、従業員が使用するすべてのチャネルで脅威を検知、調査、対応できるように、情報漏えいの根本的な原因であるユーザーの操作に対処するために、DLP戦略を再考する必要があります。新たなチャネルは、情報漏えい対策の急速な発展がユーザーの行動を変化させるため、DLPプログラムを定期的に見直すことの重要性を強調しています。専用に構築されたDLPプラットフォームを導入するなどの戦略は、セキュリティチームがすべてのインシデントについてユーザーとデータを完全に可視化し、人を中心とした情報漏えいシナリオの全領域に対処できるようにすることで、セキュリティプログラムを推進するのに役立ちます。人はデータセキュリティの重要な変数であり、情報漏えい対策プログラムはこれを認識する必要があります」
日本プルーフポイント株式会社 チーフ エバンジェリストの増田 幸美は次のように述べています。「日本においても大転職時代が到来し、退職に伴う情報漏えいが後を絶ちません。また経済安保も問題になる中、退職者による“手土産”が他社にわたることにより、気づかぬうちに企業価値や国益を弱めています。しかし内部からの情報漏えい対策は、サイバー攻撃への対応とは異なり、従業員へのプライバシーの配慮を伴った監視などが必要になります。調査12か国中、日本は悪意を持つ内部犯行者による情報漏えいは最下位でした。一方で、不注意による情報漏洩は調査12か国中最上位です。海外では内部犯行を抑止するために内部脅威対策がおこなわれますが、日本においては、不注意な従業員へのタイムリーな注意喚起のための内部脅威対策が必要であることが分かります」
「Data Loss Landscape 2024(情報漏えいの全容)」レポート(日本語)は、以下リンクよりダウンロードしてください:
https://www.proofpoint.com/jp/resources/threat-reports/data-loss-landscape
Proofpoint | プルーフポイントについて
Proofpoint, Inc.は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の85%を含むさまざまな規模の大手企業が、メールやクラウド、ソーシャルメディア、Webにおける最も重要なリスクを軽減する人を中心としたセキュリティおよびコンプライアンスのソリューションとして、プルーフポイントに信頼を寄せています。
詳細は www.proofpoint.com/jp にてご確認ください。