企業は、サーバー、ストレージアレイ、またはバックアップメディアに、ギガバイト単位の機密性の高いデータをアーカイブしています。これらの企業は、情報セキュリティ専門家の専門知識に頼って、それらのデータを保護し、不正アクセスを防止しています。しかし、問題は「誰が情報セキュリティ専門家から機密性の高いデータを守っているのか?」ということです。
サイバーアーク・ソフトウェアは、4回目となる年次調査「信頼、セキュリティ、そしてパスワード」をまとめ、企業にとって懸念材料となり得る不穏な統計データを明らかにしました。Infosecurity Europe 2010およびRSA USA 2010において、400名のIT管理者および情報セキュリティ専門家を対象に実施されたこの調査では、データ保護を託された人々が、データに対する大きな脅威の一つとなっている可能性があることが明らかになりました。
サイバーアーク・ソフトウェアのプレスリリースでは、「調査結果によると、回答者の67%が、自分の職務に関連しない情報にアクセスしたことがあることを認めています。機密情報を盗み見たり、閲覧したりする可能性が高い部門を尋ねたところ、半数以上(54%)がIT部門を挙げました。IT部門の権限と、組織全体の複数のシステムを管理する広範な責任を考えると、これは当然の選択と言えるでしょう。」と説明されています。
管理者パスワードを悪用して、本来アクセスすべきではない機密情報や秘密情報を盗み見ていたと認めた回答者は、33%から41%へと大幅に増加しました。米国のIT管理者は顧客データベースに最も関心があるようですが、英国のIT管理者は人事記録の調査に関心が高いようです。
調査に回答したIT管理者は、組織が特権アクセスの監視と不正なスヌーピングの抑制にこれまで以上に力を入れているように見えることを認めています。しかしながら、IT管理者と情報セキュリティ専門家の大多数は、望めばこれらの制御を回避できると確信しています。朗報なのは、ネットワーク上での行動を監視しようとする試みを回避できると感じている回答者の割合が、77%から61%に減少したことです。
他の調査や調査結果と合わせると、内部攻撃や不正アクセスの脅威から情報を守るという点では、かなり厳しい状況が浮かび上がってきます。2009年初頭に行われたPoneman Instituteの調査では、「過去1年間に退職した、あるいは退職を命じられた従業員の約60%が、何らかの形で社内データを窃取した」ことが明らかになりました。
2008 年に Compuware が実施した調査によると、データ侵害のうち外部のハッカーによるものは 1% 未満で、データ侵害インシデントの 4 分の 3 は内部者の過失 (または悪意) によるものであることがわかりました。
サイバーアークのアメリカ大陸およびコーポレートデベロップメント担当エグゼクティブバイスプレジデント、アダム・ボスニアンは、プレスリリースでこの結果について次のように述べています。「人間の本性や詮索への欲求を完全に制御することは不可能かもしれませんが、容易に詮索できる人が減っていることは喜ばしいことです。これは、組織内の特権アクセス権をより適切に管理・監視するための効果的な制御手段がますます増えていることを示しています。内部者による妨害行為が増加している今、対策を講じる時期は既に過ぎており、企業は警告に耳を傾ける必要があります。」
IT管理者や情報セキュリティ専門家、少なくとも自らを最大の敵としない道徳心と倫理観を持つ者は、内部脅威が外部脅威よりもはるかに蔓延しており、検知と防止がはるかに困難であることを認識すべきです。企業は、機密データへの特権アクセスを監視し、内部脅威から身を守るための対策を講じる必要があります。
TonyのFacebookページをフォローするか、[email protected]までメールで連絡を取ることができます 。また、 @Tony_BradleyPCWとしてもツイートしています。
