［米国］【ポネモン調査】
企業ネットワークの外部に持ち出される情報、セキュリティ対策は不十分

「経営者は危機感も予算配分も足りない」と専門家は警鐘

（2007年08月23日）

　独立系調査機関の米国ポネモン・インスティチュートは8月22日、「企業ネットワーク外部でのセキュリティに関する調査」リポートを発表した。

　この調査は、IT資産管理および復旧サービス・ベンダーである米国レデンテックの委託を受け、ポネモンが735名のITセキュリティ専門家を対象に行ったものである。

　それによると、ノートPCやPDAなどのデバイスを、ファイアウォールなどで保護された企業ネットワークの外部へ持ち出す際、多くの企業は十分なセキュリティ対策を講じておらず、機密性の高い情報を危険にさらしている実態が明らかになった。

　同リポートによると、個人情報漏洩などのデータ侵害事件の大半は、再配置や修理、廃棄などのために、企業ネットワークの外部に持ち出されたデバイスが原因となっているという。

　ポネモンでは、「ITセキュリティ管理者は、企業ネットワークの外部に持ち出されるデバイスと情報のセキュリティ・ポリシーを見直し、早急に対策を講じるべきだ」と提言している。

　同リポートによると、調査対象となった企業の73％が、過去2年以内に「資産価値のあるデータ」の紛失、もしくは盗難を経験したと回答している。さらにデータの紛失／盗難を経験した企業の42％は、非常に重要な機密情報を紛失させたことがあると回答している。

　デバイス別で見ると、最も多くデータ侵害事件を起こしたのはノートPC（68％）で、以下PDA（67％）、USBメモリ（60％）と続いている。また、サーバ（39％）やデスクトップPC（29％）も、データ侵害事件を起こしているという（複数回答）。

　多くの企業が、企業ネットワークの外部に持ち出したデバイスで、データ侵害事件を起こしているにもかかわらず、その対策を講じている企業は少ない。企業ネットワークの外部に持ち出すデバイス／情報のセキュリティ対策を、企業内ネットワークのセキュリティ対策よりも優先していると回答したのは、全体の40％に満たなかった。

　なお62％が、「企業ネットワークの外部に持ち出されるデバイス／情報の管理体制は、厳密に整備されているとは言えない」と回答している。

　実際、企業ネットワークの外部に持ち出されるデバイス／情報のセキュリティ対策に割り当てられる予算は少ないようだ。同予算がITセキュリティ予算全体の5％～10％であると回答した企業は40％、1％～5％とした回答した企業は34％だった。

　この結果についてポネモンは、「経営上層部が企業ネットワークの外部に持ち出されるデバイス／情報のセキュリティを軽視していることは一目瞭然だ。データ侵害事件の大半が企業ネットワークの外部で発生していることを考えれば、予算は明らかに不足していると言えるだろう」と結論づけている。

(デニス・ドゥビー／Network World オンライン米国版)