「不慮」と「故意」の差はわずか

図1は、自社の従業員が直近12カ月の間に機密情報を漏えいさせたか、または漏えいさせそうになったと思われる回数がどのくらいかをIT Leaders群に尋ねた結果であり、上側は不慮の漏えい、下側は故意の漏えいに関する回答結果である。

いずれも図の縦軸はパーセンテージなので、例えば上側であれば「1〜10回発生した」という回答をしたIT Leadersが2019年(赤色)に49%、2020年(紫色)に43%あったということを表している。

写真を拡大 図1. 従業員が直近12カ月間に機密情報を漏えいリスクにさらしたと思われる回数(出典:Egress / Insider Data Breach Survey 2020)

2019 年と 2020 年とでは調査範囲が異なり(注3)、前年からの変化については何とも言えないので、2020年の結果だけを見て両者を比較すると、意図的な漏えいと不慮の漏えいとの間の差が少ないことに驚く。不慮の情報漏えいと意図的な情報漏えいとでは対策の仕方が全く異なるが、企業としてはこれらを両睨みで対策を講じなければならないということを再認識させられるデータである。

また図2は、意図的な情報漏えいの理由として最も考えられるものをIT Leaders群に尋ねた結果である。最も多いのは「従業員が個人のシステム(私物)にデータを共有する」(32%)であり、これに「従業員が競合他社に漏えいさせる」(22%)、「従業員がサイバー犯罪に情報を漏えいさせる」(21%)、「従業員が転職先にデータを持ち込む」(18%)が、ほぼ横並びで続いている。

写真を拡大 図2. 意図的な情報漏えいの理由として最も考えられるものは何か?(出典:Egress / Insider Data Breach Survey 2020)

ここで「従業員が個人のシステム(私物)にデータを共有する」というのは、会社から認められていない私物のパソコンやスマートフォンにデータがコピーされた時点で、既に「会社から外に漏えいした」とみなされているということであろう(注4)。本報告書ではこの点について、従業員が効率よく仕事を進めようとしている結果が情報漏えいにつながっているのは皮肉なことであり、従業員がモバイル環境を活用し、職務環境の境界が曖昧になっていく状況を踏まえた、柔軟な対策が必要だと言及されている。

身近になってきたサイバー犯罪

また、筆者が個人的に最も驚いたのは「従業員がサイバー犯罪に情報を漏えいさせる」が予想以上に多かったことである。「従業員が転職先にデータを持ち込む」というのは日本でも昔からよく聞く話であるが、サイバー犯罪への情報漏えいが僅差ながらこれを上回っているということは、サイバー犯罪がかなり身近な存在になってきたと言えるのではないだろうか。

もちろん日本と諸外国とでは、国民性や社会環境などの違いがあり、これらが従業員の行動態様に与える影響を考えると、本報告書に書かれている状況は日本におけるそれとはかなり異なるかもしれない。しかしながら企業活動も国際化が進み、サイバー犯罪が急増している今日においては、そのような違いはますます小さくなっていくであろう。日本においても、このような諸外国における状況を踏まえて対策を考えていかなければならないように思う。

■報告書本文の入手先(PDF 16ページ/約3.4MB)
https://pages.egress.com/whitepaper-insiderdatabreachsurvey2020-0320

注1)「ベネルクス」とはベルギー、オランダ、ルクセンブルクの 3カ国の総称。

注2)CIOは Chief Information Officer(最高情報責任者)、CTOは Chief Technology Officer(最高テクノロジー責任者)、CISO は Chief Information Security Officer(最高情報セキュリティー責任者)の略である。

注3)2019年版の調査では、ベネルクス三国が調査対象に含まれていなかった。

注4)最近はBYOD(Bring Your Own Deviceの略で、一定の条件のもとで従業員が所有するパソコンやスマートフォンなどを業務に活用させること)を採り入れている企業が増えていると思われるのが、それらは企業のルールの範囲内で行われていることなので、ここでは該当しないであろう。