［米国］【Ponemon調査】
企業の情報漏洩対策、最大の課題は従業員の意識改革

半数以上が社外秘情報を無断で持ち出した経験アリと回答

（2007年12月07日）

　米国のシンクタンクPonemon Instituteは12月4日、企業におけるセキュリティ・ポリシーの実情に関する調査リポートを発表した。890人以上のIT専門技術者を対象に行われたこの調査では、驚くほど多くの従業員がセキュリティ・ポリシーを故意に無視している実態が明らかになった。

　Ponemon Instituteの会長、ラリー・ポネモン（Larry Ponemon）氏は、「この調査で特に注目すべき点は、企業のセキュリティ・ポリシーは従業員に読まれていないということだ。仮に読まれていたとしても、従業員はその意味を理解しておらず、仮に理解していたとしても、だれもポリシーに従おうとしていない」と語っている。

　調査では、回答者の半数以上が個人的な利用目的で社外秘情報をUSBメモリにコピーしたことがあると答えた。しかもコピーしたことがあると回答したうちの87％は、こうした行為が自社のポリシーで禁止されていることを認識していた。なお全体の57％は、機密データや社外秘データを保存したり持ち歩いたりするために、日常的にUSBメモリを使っている従業員が周囲にいると回答している。

　また、パスワードを同僚と日常的に共有していると答えた人も46％いた。こうした行為が禁止されていることを、全体の3分の2の人が認識しているにもかかわらずである。

　一方、従業員が自社のポリシーを理解していないために生じる違反行為もある。例えば、職場の文書を電子メールに添付して自宅に送ったことがあると答えた人は33％だったが、この行為がポリシー違反に該当するかどうかわからないと答えた人は半数近くに上った。また、ファイアウォールを停止させる行為がポリシー違反に当たるかどうかわからないと回答したIT専門スタッフは80％に達している。

　これに対し、明確なガイドラインが存在しないために、従業員によるセキュリティ侵害（情報漏洩など）が発生することもある。

　企業内部の人物による不正行為や、ヒューマン・エラーが原因で発生する情報漏洩の懸念が広がっているにもかかわらず、全体の60％が「会社のコンピュータに個人でソフトウェアをインストールすることを禁止する、明文化されたポリシーが自社に存在しない」と回答している。

　ピア・ツー・ピア（P2P）ファイル共有ソフトウェアを会社のハードウェアにダウンロードしたことがあると回答した人は半数近くに上っており、会社のデータが入ったモバイル・デバイスの紛失をすぐに会社に報告しなかったと答えた人は70％にも上った。

　Ponemon氏は、「こうしたことが起こるのは、コンプライアンスが徹底されていないからだ。ITマネジャーの多くは全社的なセキュリティ・ポリシーの必要性を認識していると思われるが、それを執行する指揮官はおらず、コンプライアンスの監査も行われていない」と指摘する。

　今回の調査リポートは、アナリストが過去に何度も指摘した企業の情報セキュリティの弱点をあらためて浮き彫りにした。これまで企業は、外部からの攻撃に対して会社のネットワークを守ることには注力してきたが、企業内の人物が不注意（あるいは故意）に情報漏洩させることを防ぐ対策は重要視していなかった。

　今年1年だけを見ても、企業（組織）の内部者による情報漏洩事件は多発している。化学企業の米国DuPontでは、元研究員が4億ドル相当の価値がある社外秘文書に不正アクセスし、ダウンロードするという事件が発生した。また製薬企業の米国Pfizerでも、従業員の妻が会社のコンピュータにP2Pファイル共有ソフトをインストールしたため、従業員1万7,000人分の機密情報が漏洩するという事件が起きている。

(Jaikumar Vijayan／Computerworld オンライン米国版)