企業ネットワークの外部に持ち出される情報、セキュリティ対策は不十分
「経営者は危機感も予算配分も足りない」と専門家は警鐘独立系調査機関の米国ポネモン・インスティチュートは8月22日、「企業ネットワーク外部でのセキュリティに関する調査」リポートを発表した。
この調査は、IT資産管理および復旧サービス・ベンダーである米国レデンテックの委託を受け、ポネモンが735名のITセキュリティ専門家を対象に行ったものである。
それによると、ノートPCやPDAなどのデバイスを、ファイアウォールなどで保護された企業ネットワークの外部へ持ち出す際、多くの企業は十分なセキュリティ対策を講じておらず、機密性の高い情報を危険にさらしている実態が明らかになった。
同リポートによると、個人情報漏洩などのデータ侵害事件の大半は、再配置や修理、廃棄などのために、企業ネットワークの外部に持ち出されたデバイスが原因となっているという。
ポネモンでは、「ITセキュリティ管理者は、企業ネットワークの外部に持ち出されるデバイスと情報のセキュリティ・ポリシーを見直し、早急に対策を講じるべきだ」と提言している。
同リポートによると、調査対象となった企業の73%が、過去2年以内に「資産価値のあるデータ」の紛失、もしくは盗難を経験したと回答している。さらにデータの紛失/盗難を経験した企業の42%は、非常に重要な機密情報を紛失させたことがあると回答している。
デバイス別で見ると、最も多くデータ侵害事件を起こしたのはノートPC(68%)で、以下PDA(67%)、USBメモリ(60%)と続いている。また、サーバ(39%)やデスクトップPC(29%)も、データ侵害事件を起こしているという(複数回答)。
多くの企業が、企業ネットワークの外部に持ち出したデバイスで、データ侵害事件を起こしているにもかかわらず、その対策を講じている企業は少ない。企業ネットワークの外部に持ち出すデバイス/情報のセキュリティ対策を、企業内ネットワークのセキュリティ対策よりも優先していると回答したのは、全体の40%に満たなかった。
なお62%が、「企業ネットワークの外部に持ち出されるデバイス/情報の管理体制は、厳密に整備されているとは言えない」と回答している。
実際、企業ネットワークの外部に持ち出されるデバイス/情報のセキュリティ対策に割り当てられる予算は少ないようだ。同予算がITセキュリティ予算全体の5%〜10%であると回答した企業は40%、1%〜5%とした回答した企業は34%だった。
この結果についてポネモンは、「経営上層部が企業ネットワークの外部に持ち出されるデバイス/情報のセキュリティを軽視していることは一目瞭然だ。データ侵害事件の大半が企業ネットワークの外部で発生していることを考えれば、予算は明らかに不足していると言えるだろう」と結論づけている。
(デニス・ドゥビー/Network World オンライン米国版)
