メールに関する調査: 60% の組織がデータ損失における最も危険な経路だと認識

Email is the riskiest channel for data security

2022/05/20 HelpNetSecurity — Tessian と Ponemon Institute の調査によると、回答者の約60%の組織が過去12ヶ月間に、従業員の電子メールに関するミスによりデータ損失/流出を経験していることが明らかになった。さらに、IT セキュリティ担当者の 65% が、組織におけるデータ損失の最も危険な経路は電子メールだと述べている。続いて、クラウド・ファイル共有サービス (62%)/インスタント・メッセージング・プラットフォーム (57%) が、危険な経路とされている。

data loss email


また、全世界の IT セキュリティ担当者 614名を対象にした調査では、次のようなことも明らかになっている。

  • データ損失の主な原因は、ポリシーを守らなかった従業員の過失である (40%)。
  • データ損失インシデントの 27% は、悪意の内部者により引き起こされる。
  • 悪意の内部者により引き起こされた、電子メールを介したデータ損失/流出インシデントを、セキュリティ/リスク管理チームが検出/修復するまでには、最大で3日を要する。
  • 23% の組織が、従業員の電子メール利用に関わるセキュリティ・インシデントを、毎月30件まで経験している (たとえば、意図しない受信者への電子メール送信など)。

紛失/盗難の対象となった機密情報の種類は、顧客情報 61%/知的財産 56%/消費者情報 47% が、最も一般的だった。また、データ損失から守ることが最も困難なデータとしては、ユーザーが作成したデータ (機密性の高い電子メールの内容/テキストファイル/M&A文書) および、規制対象のデータ (クレジットカード情報/社会保障番号/国民ID番号/従業員情報)、そして知的財産の、3項目が特定された。

また、データ損失事故の影響として、データ保護規制の不遵守の露呈 (57%) と、組織の評判の低下 (52%) が上位に挙げられていることが明らかになった。さらに、Tessian における以前の調査では、従業員が間違った相手にメールを送ったことで、顧客やクライアントを失った企業が 29% もいたという結果が出ている。

可視性の欠如がデータ損失の問題を引き起こす

言うまでもなく、見えないものを組織は守れない。データ損失を防ぐための、最も一般的な障壁として回答者の 54% が挙げたのは、従業員がネットワークから、個人の電子メールに転送した機密データを可視化できないという点である。さらに、回答者の 52% は、正当なデータ損失インシデントと、従業員の慣習的なデータ処理行動を識別できないと報告している。

その結果として、悪意の内部関係者が電子メールで引き起こした、データ損失/流出インシデントの検知/是正に、セキュリティチームは平均で 72時間を要し、従業員の過失によるインシデントの検知/是正には、ほぼ 48時間を要するという結果が出ている。

従業員への教育強化が必要

回答者のうち 73% の組織が、従業員が電子メールを通じて共有するデータの機密性や保護について、正しく理解していないことを懸念している。また、電子メールを使用する際にデータを危険にさらす可能性が最も高いのは、マーケティングおよび広報部門 61%/生産・製造部門 58% /業務部門 57% であり、その差は小さい。

このようなリスクがあるにもかかわらず、組織では十分なトレーニングが行われていない。回答者の 61% が、セキュリティに関する意識向上トレーニングを実施している一方で、従業員が電子メールでアクセスできるデータの機密性に、適切に対処するためのプログラムが存在すると回答した、IT セキュリティ・リーダーは約半数のみであった。

Ponemon Institute の Larry Ponemon 所長は、「この調査は、電子メールによるデータ損失の深刻さと、それにより、現代の企業にもたらされる影響を示している。我々の調査結果は、組織が機密データを可視化できていないこと、従業員の電子メールを介した行動が極めて危険であること、そして、企業におけるビジネスの最優先事項として、データ損失の防止を考える必要があることを証明している」と述べている。

Tessian CISO である Josh Yavor は、「ほとんどのセキュリティ意識向上トレーニング・プログラムは、インバウンドの脅威にフォーカスしているが、社内における機密データの取り扱いについては適切に対処できていない。しかし、データ損失は、偶発的なものであれ、意図的なものであれ、大きな脅威であり、最優先事項として扱われるべきものだ」と述べている。

そして彼は、「データ損失に関する意識を高め、インシデントを軽減するために、組織は効果的なデータ損失防止トレーニングを積極的に実施する必要がある。それと同時に、従業員が会社のデータを、どのように扱っているのかを、より明確に把握する必要がある。個人アカウントと共有してよいもの、退職時に持ち出してはいけないものなど、よくあるタイプのデータ損失に、ダイレクトに対処するセキュリティ啓発トレーニングが必要だ。そして、従業員の信頼と信用を築く文化が、セキュリティ行動を改善し、組織外に流出するデータ量を制限することになる」と付け加えている。

アウトバウンド・メールと情報漏えいの関係ですが、それぞれの個人 (従業員) の情報に対する認識の欠如が問題だという結論です。そして、メールという、誰とでもつながってしまう経路が、最も危険だという指摘にも納得です。この記事に元データを提供している Tessian のレポートですが、Why DLP Has Failed and What the Future Looks LikeWhy Do People Make Mistakes That Compromise Cybersecurity? をダウンロードしてみましたが、いずれにも、それらしい数字がなかったので、なんらかの合算などが行われているのかもしれません。ただし、どちらのレポートも、とても興味深い内容なので、お勧めできます。また、以下の過去記事も、なかなか面白いです。

2021年7月:電子メール疲れがサイバー犯罪のドアを開くという悲しい現実
2021年7月:ビジネスメール詐欺 (BEC) を阻止するためのベスト・プラクティスとは?
2021年11月:フィッシング・リンクを従業員に踏ませないための5つのチップス
2022年4月:6000人を対象にセキュリティ調査:人為的なリスクが最大の痛みを伴うという結論

%d bloggers like this: