セキュリティ侵害を隠蔽するように言われた：IT 専門家の 42％ が回答

Two-Fifths of IT Pros Told to Keep Breaches Quiet

2023/04/06 InfoSecurity — IT 専門家の 5分の2以上 (42％) が、セキュリティ侵害を隠蔽するように言われたことがあり、コンプライアンス・リスクを高める可能性があるという、最新の調査結果が Bitdefender により明らかにされた。セキュリティ・ベンダーである Bitdefender が調査した対象は、従業員 1000人以上の組織に所属する、IT ジュニア・マネージャーから CISO にいたるまでの、400人の IT 専門家である。

その結果として、Bitdefender 2023 Cybersecurity Assessment というレポートが発表され、過去12ヶ月間にデータ侵害や情報漏えいに遭遇したケースが半数以上 (52％) となり、米国では 75％ となったことが判明した。

また、情報漏えいを秘密にするよう指示されたと回答した人の割合も、米国がトップとなる 71％ だった。その他の国々 (フランス／イタリア／ドイツ／スペイン／英国) では、この数字が世界平均を下回っている。これとは別に、3分の1近く (30％) の回答者が、情報漏えいを報告すべきだと知っていたが、自身の秘密にしていたと答えている。この数字も、米国 (55％) が極めて高くなっている。

個人を特定できる情報 (PII) が含まれる場合には、米国の全州および EU 全域で、情報漏洩を通知する義務がある。情報漏えいを適切に開示しないと、いくつかの問題が生じる。まず、政府や法執行機関などが、サイバー脅威の活動レベルを過小評価する可能性ある。それにより、最終的にインシデントが発見されたときに、企業が法的危機にさらされる可能性が生じる。

その一例が、2016年に発生した Uber の大規模な情報漏えいであり、インシデントを隠蔽しようとしたことが最終的な影響を悪化させ、同社の元 CSO に有罪判決が下された。Bitdefender の調査では、回答者の半数以上 (55％) が、情報漏洩の管理ミスにより、自社が法的措置を受けることを心配していると回答している。

彼らが強調したセキュリティ脅威の第１位は、ソフトウェアの脆弱性やゼロデイ (53％) である。それに続いて、フィッシング／ソーシャルエンジニアリングの脅威 (52％) や、サプライチェーン攻撃 (49％) などが挙げられている。

Bitdefender Business Solutions Group の Deputy General Manager である Andrei Florescu は、「世界中の企業は、ランサムウェア／ゼロデイ脆弱性／スパイ行為などの、進化する脅威と闘うという大きなプレッシャーにさらされている。環境全体へとセキュリティ適用の範囲が拡大され、複雑さが増大し、継続するスキル不足に悩まされている。

なんとも残念な結果ですが、欧米でもこんな感じなのですね。そうなると、無謬国家である日本は、もっと残念な状況にあるのかと想像してしまいます。でも、以下の関連記事を読むと、日本でも人の問題が深刻なんだろうと思えてきます。よろしければ、カテゴリ Human も、ご利用ください。

2022/05/18：IT ヘルプ・デスク：65％ がストレスを訴えている
2022/03/07：セキュリティ・アナリストの燃え尽き症候群
2022/01/03：セキュリティ専門家たちの燃え尽き症候群