米国の金融機関では、データ侵害による被害額は平均590万ドルにのぼる。
一方、機密情報は日常的に置き忘れられたり、他の人が見つけられる場所に残されたりしている。
情報セキュリティサービスを手がけるShred-itが米国時間6月30日に発表した報告書によると、企業の68%が過去12カ月間に少なくとも1件のデータ侵害を報告したという。紙のドキュメントや機密情報を含む電子デバイスの紛失または盗難が、4人に3人の割合で発生している。
報告書では、サイバーセキュリティと物理的セキュリティの優先順位の違いが明らかになっており、従業員や管理者のミスがデータ侵害の増加につながっている可能性がある。
同社によると、管理職の65%が、従業員や請負業者が印刷した文書を置き忘れたためにデータが流出したのではないかとの懸念を表明しており、職場での日常的な出来事が問題の根本にある可能性があるという。
こうした懸念は誇張ではなかった。10人のうち7人が、プリンターに残された機密文書を見たり拾ったりしたと答え、4人のうち3人以上が、機密情報を含む電子メールを誤って別の人物に送ったことを認めた。
また、88%が、組織内外の誰かから受け取ることを意図していない機密情報を含むメールを受け取ったことがあると報告している。
Shred-itの情報セキュリティソリューションを提供するStericycleのシニアバイスプレジデントAnn Nickolas氏は声明で「報告書は、北米企業における情報セキュリティの2つの重要な要因を明らかにしている。それは、従業員の過失が故意か否かにかかわらず、データ侵害の主要な原因となる可能性があることと、企業は組織内におけるサイバーセキュリティと物理的情報セキュリティのニーズを等しく考慮すべきであることである」と述べた。
「サイバーセキュリティは保護の重要な要素であることは間違いないが、企業は潜在的な侵害から身を守るために、物理的セキュリティとサイバーセキュリティへの投資の間でバランスを取り、リスク要因について従業員とのより良いコミュニケーションを統合することに目を向けるべきです」
Ponemon Instituteは、機密情報の保護に関する組織の戦略に精通した北米のさまざまなビジネス部門のITセキュリティおよび非IT部門のマネージャ650人を対象に、オンライン調査を8月に実施した。
ブレイクダウンの発生場所
このほか、従業員が機密情報にアクセスしている可能性があることを示す調査結果も報告されている。その理由の1つは、アクセスすべきでない紙の書類に閲覧制限がない場合があるからです。
回答者のわずか33%が、ドキュメント保存施設への不正アクセスを防ぐために物理的セキュリティを使用していると述べた。38%が書類をファイルキャビネットや鍵のかかった机に保管していた。クリーン・デスク・ポリシーを実施したのは3分の1未満だった。
経営者の半数は、自分たちの組織はこうした措置を取っていないと答えた。
調査対象となった管理職の5人に3人が、従業員、派遣社員、請負業者が、自分の役割や責任に関係のない紙の文書にアクセスできると答えている。
マネージャーは、機密性の高い情報を無視していることから逃れることはできない。
調査対象となった経営者の51%は、そうした情報を含む紙の書類が不要になった後に廃棄するプロセスがないと答えた。
紙の書類を確認したところ、21%が書類をゴミ箱に捨てたと答えた。
半数以上の管理職が、職場でフィッシングメールやソーシャルエンジニアリング詐欺の標的にされたことがあると報告したが、この件について上司に連絡したと答えたのは10人中わずか4人だった。
—ThinkAdvisor関連:
顧客からの苦情や訴訟を回避する方法 情報開示のマイナス面 SEC、クラウドベースのストレージソリューションに関する警告を発表
© 2019 ALM Media Properties, LLC
