筆者は最近,米Deloitte Touche Tohmatsu(DTT)による興味深い調査を目にした。その調査は,技術/メディア/通信の各業界の150企業を30カ国から選び,そのセキュリティ事業担当役員を対象にしたものであった。その調査結果を読むと,一部の企業がセキュリティ上の欠陥に対して無防備である理由が,おぼろげながら見て取れた。
この調査は「Protecting the Digital Assets」という題名である。調査結果によれば,調査対象企業の多くが,自分達が情報セキュリティ強化に関して(先手を打たず)後手に回っている(reactive)ことを認識していた。言い替えれば,セキュリティ上の欠陥に対してはお金をかけているが,セキュリティ上の欠陥を引き起こさないことにはお金をかけていないのである。
情報セキュリティ強化に効率的に取り組んでいると答えた企業はわずか4%であった。また,フィッシング対策を行っている企業はわずか25%,過去12カ月の間に従業員にセキュリティ関連の教育を実施した企業はわずか37%,セキュリティ・ツールが効率的に使用されていると考えている企業はわずか24%,セキュリティ・リスク評価を実施している企業はわずか33%であった。
最大のセキュリティ上の脅威は内部からの攻撃
これ以外に興味深かったのは,過去12カ月の間にセキュリティ上の欠陥に苦しんだ企業の半分が内部から攻撃を受けていたことである。また内部からのアタックに対して的確な対策を講じていると考えている企業の割合は,わずか47%に過ぎなかった。
Deloitte Security and Privacy Servicesの社長であるBrian Geffert氏は,調査結果について次のように述べている。「技術/メディア/通信分野の企業は,セキュリティの面では“有言不実行”だといえる。調査に回答した担当者は,セキュリティは一番の関心事だと言っているが,リスク面から見た場合,取り組みが企業全体には浸透していない。セキュリティ上の欠陥よって受ける損失は非常に大きくなっており,企業の評判,ブランド,収益,生産性にも計り知れない悪影響を与えるにも関わらず,である。実際,調査に応じた役員の半分以上は,セキュリティ面の投資はその脅威に対してはるかに遅れを取っていると認めており,良くてもせいぜいその脅威に追い付きつつあるという程度である」
これは驚くべき結果である。DTTはこれと並行して,金融機関,ライフ・サイエンス企業,ヘルスケア企業に対しても同様の調査を実施している。DTTは調査に参加した企業数を公表していないが,金融機関に関してはその78%が外部からのセキュリティの脅威にさらされた経験があり,49%は内部からのセキュリティ被害を被っているという。いずれも過去1年間の数字である。ライフ・サイエンス企業とヘルスケア企業は,その17%が外部から,そして9%が内部からのセキュリティの脅威にさらされた経験がある。何と言う事だろう。
過去数カ月の間,不法侵入や機材の紛失による個人情報漏洩のニュースを何度も耳にした。そしてまた,1週間も経たないうちに同じようなニュースを耳にするだろう。そうしてDTTの調査結果が正しい事がまた裏付けられるのである。 DTTの調査結果が明らかにしているが,不法侵入やなりすまし犯罪が発生する原因は,企業による継続的な努力や,継続的な努力を行うだけの予算が欠けていることであるように思われる。
結局,相応の予算さえ確保できれば,企業のネットワークやノート・パソコン,バックアップ・テープなどを継続的に保護するのは容易である。ネットワークの防御は退屈な作業であるが,決して困難ではない。ノート・パソコンやバックアップ・テープを保護する最良の手法は紛失や盗難を防ぐことであり,つまりはユーザーに注意深さと常識が求められているだけである。
もし,あなたの会社が,情報セキュリティ対策を継続的に実施するための適切なリソースを提供していないと思うのであれば,役員や意思決定者に,この記事やDTTによるプレス・リリースを見せて,その重要性に気付いて貰うのも1つの手であろう。
