ハッカーによるデータ侵害がニュースの見出しになる一方で、別の形態のデータ漏洩も企業の収益に甚大な損害を与える可能性があります。特に顕著なのが、USBメモリに保存されていた機密データの紛失です。
これは、ミシガン州トラバースのポネモン研究所が本日発表した調査で明らかになった。ポネモンは、調査対象となった400以上の組織が、メモリースティックの紛失により250万ドルもの損失を被ると見積もっている。
調査によると、企業はUSBメモリの紛失により平均1万2000件の顧客、消費者、従業員の記録を失っていた。1件あたり平均214ドルの損失を考えると、調査対象企業の損失は250万ドルを超える可能性がある。
「これらのデバイスは小型かもしれませんが、USBの紛失や盗難によって発生するデータ漏洩は甚大です」と調査は述べています。「本調査の回答者の70%以上が、紛失したUSBドライブに含まれていた機密情報や秘密情報がデータ漏洩の原因であると確信している(47%)か、その可能性が高いと考えている(23%)と回答しています。」
さらに、Ponemon レポートに掲載された以下のグラフに示されているように、調査対象となった 743 人の IT および IT セキュリティ専門家のほぼ半数 (47%) が、「過去 2 年間に、組織で USB ドライブの紛失による機密情報や秘密情報の損失を経験したことは間違いない」と回答しています。
USBメモリが組織にもたらす危険性にもかかわらず、調査によると、これらのデバイスを取り巻くセキュリティ対策は依然として不十分であることが明らかになった。「今回の調査から得られる教訓は、組織は従業員の不注意によってリスクにさらされていることを認識しているものの、USBメモリのセキュリティを確保するために必要な措置を講じていないということだ」と調査報告書は述べている。「対策を講じていない主な理由として、職場におけるUSBメモリの使用状況の監視と追跡に関する不確実性、生産性の低下を回避したいという思い、そして従業員の誠実さと信頼性への依存などが挙げられている。」
誤った信頼
調査結果は、信頼性が見過ごされる可能性があることを示唆しています。例えば、会議、展示会、ビジネスミーティング、その他のイベントで配布された無料のUSBメモリは、調査対象組織の従業員の72%が使用しており、その中には安全なUSBメモリの使用を義務付けるポリシーを持つ組織も含まれています。
これらの結果は、米国国土安全保障省が行った実験で明らかになった結果と類似しています。その実験では、政府機関や民間請負業者の駐車場にUSBスティックをばら撒きました。この実験では、スティックを拾った人の60%が職場のコンピューターにUSBスティックを接続しました。
調査では、回答者の半数がUSBメモリを常に事前の許可を得ずに使用していることが明らかになりました。さらに、回答者のほぼ半数(49%)がUSBメモリを紛失した際に、関係当局に連絡せずに紛失しています。
メモリースティックメーカーのキングストンでセキュアUSB事業部長を務めるジョン・ターペニング氏は、PCWorldに次のように語った。「この調査は、ほとんどの組織がUSBポートとポータブルストレージを真剣に受け止めていないことを示しています。」キングストンがこの調査を後援した。
マルウェアの脅威
テルペニング氏は、USBメモリの無制限使用によって生じるセキュリティ上の問題はデータ損失だけではない、と付け加えた。「マルウェアも、機密データの盗難の一部に関与していると考えられています。」
調査によると、回答者の 74 パーセントが、職場で従業員が使用する前に USB ドライブに存在する可能性のあるウイルスやマルウェアの感染を防止したり迅速に検出したりするための適切なテクノロジが組織に存在しないと回答しました。
「セキュリティ対策が施されていないUSBドライブは、大規模なデータ損失事故を引き起こす可能性がある」と、自身の名を冠した研究所の会長兼創設者ラリー・ポネモン氏は声明で述べた。
「組織はサイバースペースから自社のビジネスに流入する情報を非常に注意深く監視し、あらゆる手段を講じています」とポネモンの声明は付け加えた。「今回の調査は、事実上すべての従業員のポケットに潜むリスクへの対応についても、組織がより積極的な姿勢を取らなければならないという点を改めて浮き彫りにしています。」
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください
この記事は2011年8月9日午前9時30分に更新されました。
