不況がトリガーに←企業情報漏洩リスク増大の調査結果

2009/01/30

http://plusd.itmedia.co.jp/enterprise/articles/0901/30/news030.html

世界規模の発生も：世界同時不況で企業情報流出のリスク増大 - ITmedia エンタープライズ via kwout

調査対象の企業から流出した知的財産情報は2008年だけで推定46億ドル相当に上り、被害修復のため約6億ドルが費やされたことが分かった。世界全体の被害額は1兆ドルを超すとMcAfeeは推計している。

回答者の39％は、現在の経済環境で重要情報はかつてなく脆弱になっていると指摘。犯罪組織が企業情報を狙うケースは増えているといい、39％が外部からの知的財産盗み出しを最大の懸念として挙げた。

一方で雇用情勢が不安定になる中、従業員による犯罪も懸念される。解雇した従業員が重要情報にとって最大の脅威だとの回答は42％に上った。世界的な経済危機は重要情報のグローバルメルトダウンにつながりかねないとMcAfeeは言い、支出削減や人員削減圧力が強まる中で防御が手薄になれば、犯罪のチャンスは増すと警鐘を鳴らしている。

*McAfeeが実施した調査で、米国、英国、ドイツ、日本、中国、インド、ブラジル、ドバイで企業のCIO約800人を対象

昨年、書いたブログ

１．もしも明日解雇されるならば、私は機密を持ち出す---回答者の８８％・・・らしい(2008.08.28)

２．解雇されれば情報を持ち出す・・・現実味が増してきた世の中の変化(2008.12.03)

私の単なる私見でした。今回の調査を見ると、私見とも言えない環境になったように感じます。

企業が存続することが大前提

これもちろんですが、存続させるためのコストカットも必要なことです。このコストの１つに情報漏洩対策も含まれています。毎回思うことなのですが、これらのコストって、タマゴとニワトリのようにしか思えないのです。コストカットして情報漏洩対策がおざなりになってしまう？そんなことにコストをかける前に必要なことはたくさんある・・・結局、どっちが先なのか？私自身も明確な回答は持っていません。

防止が対策のすべてなのか？

これ、もっとも基本的な話なのですが、防止のレベルというか、範囲ってドコまででしょう？

まったくの外部の関係ない人であれば、そもそも情報に接近することもないでしょう。しかし、社内の人たちや関係者の方々であれば、情報の物理的持ち出しこそ防止出来たとしても、情報を扱うことを禁止出来るでしょうか？

もしも、出来たとすれば、それは仕事にならないでしょう。通常の業務を通常通り進めれば、普通はこのようになるはずです。

防止対策の有効性が、限定された環境下であることを知っておかなければなりません。

じゃあ、何ができるの？

何も雇用環境の問題や不況だけがトリガーになっている訳じゃありません。ただ、クローズアップされただけです。こんな環境でクローズアップされたのですから、今一度考えてみるきっかけとして整理してみます。

情報漏洩対策の色々な方法など。。。常に考えていますし、もっとも効果的な対策も日々悩ましいところです。有効な対策と、パフォーマンスの上がらない対策など、結構多くあったりします。この見極めや必要性は一概にコレ！ってものがありません。対策の意図とそれぞれの企業によって異なることが多いからです。

先に書いたように、限定された環境では防止対策もパフォーマンスが上がりますが、防止＝１００％ではないのです。防止というと１００％のイメージがつきまといますが、無理があります。仮に１００％防止出来たとすれば。。。やはり通常の業務に支障が出ることでしょう。

私の考える最大のセキュリティ基準とは、「絶対に自分だったらされたくないこと」です。

コンプラマトリックス