不況がトリガーに←企業情報漏洩リスク増大の調査結果
調査対象の企業から流出した知的財産情報は2008年だけで推定46億ドル相当に上り、被害修復のため約6億ドルが費やされたことが分かった。世界全体の被害額は1兆ドルを超すとMcAfeeは推計している。
回答者の39%は、現在の経済環境で重要情報はかつてなく脆弱になっていると指摘。犯罪組織が企業情報を狙うケースは増えているといい、39%が外部からの知的財産盗み出しを最大の懸念として挙げた。
一方で雇用情勢が不安定になる中、従業員による犯罪も懸念される。解雇した従業員が重要情報にとって最大の脅威だとの回答は42%に上った。世界的な経済危機は重要情報のグローバルメルトダウンにつながりかねないとMcAfeeは言い、支出削減や人員削減圧力が強まる中で防御が手薄になれば、犯罪のチャンスは増すと警鐘を鳴らしている。
*McAfeeが実施した調査で、米国、英国、ドイツ、日本、中国、インド、ブラジル、ドバイで企業のCIO約800人を対象
昨年、書いたブログ
1.もしも明日解雇されるならば、私は機密を持ち出す---回答者の88%・・・らしい(2008.08.28)
2.解雇されれば情報を持ち出す・・・現実味が増してきた世の中の変化(2008.12.03)
私の単なる私見でした。今回の調査を見ると、私見とも言えない環境になったように感じます。
企業が存続することが大前提
これもちろんですが、存続させるためのコストカットも必要なことです。このコストの1つに情報漏洩対策も含まれています。毎回思うことなのですが、これらのコストって、タマゴとニワトリのようにしか思えないのです。コストカットして情報漏洩対策がおざなりになってしまう?そんなことにコストをかける前に必要なことはたくさんある・・・結局、どっちが先なのか?私自身も明確な回答は持っていません。
防止が対策のすべてなのか?
これ、もっとも基本的な話なのですが、防止のレベルというか、範囲ってドコまででしょう?
まったくの外部の関係ない人であれば、そもそも情報に接近することもないでしょう。しかし、社内の人たちや関係者の方々であれば、情報の物理的持ち出しこそ防止出来たとしても、情報を扱うことを禁止出来るでしょうか?
もしも、出来たとすれば、それは仕事にならないでしょう。通常の業務を通常通り進めれば、普通はこのようになるはずです。
防止対策の有効性が、限定された環境下であることを知っておかなければなりません。
じゃあ、何ができるの?
何も雇用環境の問題や不況だけがトリガーになっている訳じゃありません。ただ、クローズアップされただけです。こんな環境でクローズアップされたのですから、今一度考えてみるきっかけとして整理してみます。
情報漏洩対策の色々な方法など。。。常に考えていますし、もっとも効果的な対策も日々悩ましいところです。有効な対策と、パフォーマンスの上がらない対策など、結構多くあったりします。この見極めや必要性は一概にコレ!ってものがありません。対策の意図とそれぞれの企業によって異なることが多いからです。
先に書いたように、限定された環境では防止対策もパフォーマンスが上がりますが、防止=100%ではないのです。防止というと100%のイメージがつきまといますが、無理があります。仮に100%防止出来たとすれば。。。やはり通常の業務に支障が出ることでしょう。
私の考える最大のセキュリティ基準とは、「絶対に自分だったらされたくないこと」です。
私の恩師が言っていた言葉です。参考:http://www.seibonokishi-sha.or.jp/kishis/kis0203/ki03.htm
コンプライアンスのマトリックスとして使っています。マトリックスにすることで位置づけがわかりやすくなってきます。
防止であっても、抑止であっても、それらが出来るだけ起きにくい環境をつくること。そのベストポイントを常に模索しています。