33%が退職後もファイル共有や共同作業向けサービス、メールにアクセスできると回答
調査では、33%(日本は34%)の回答者が、退職した職場の共有ファイルや共同作業向けサービス、メールにいまだにアクセスできると答えている。元従業員のアクセス権限が変更されずにそのままになっていた場合は、データ漏洩やサイバーインシデントの原因となる可能性があり、企業にとっては重大な問題となる。
また、元従業員が別の目的でアクセスし、ファイルや文書を誤って削除、または破損してしまい、データの整合性が取れなくなる可能性もある。
不適切なアクセスの原因には、デジタルクラッターと呼ばれる管理されていない溜め込まれたファイル類の存在や、ファイルの共有や共同作業をするためのサービスへのアクセス権の管理が不十分なことが挙げられる。
業務でファイル共有や共同作業向けのサービスを使うと回答した5,866人(日本は421人)のうち、誰かが会社を退職、またはプロジェクトから外れるたびに、すべてのファイル共有や共同作業向けのサービスのアクセス権を削除すると回答した人は37%(日本は22%)、アクセス権を定期的に確認し、変更していると回答した人は43%(日本は30%)だった。
従業員が退職、または異動した場合には、そのアクセス権を直ちに適切に変更する必要がある。
また、37%(日本は14%)の回答者が、社内の機密情報(同僚の給与・ボーナスや口座情報、パスワードなど)を、共有文書や共同作業向けサービス上のファイル類、メールなど、何らかの形で偶然目にしたことがあると答えた。
業務で使うデジタルデータの秩序を維持するために必要な利用手順やポリシーの整備が不足していたり、アクセス権の管理が不十分なことが原因で、機密情報が社内、社外に流出した場合、従業員のモラルが低下するだけでなく、サイバーインシデントの原因になり得る。
サイバーセキュリティをより高めるために検討を推奨すること
・メールボックス、共有フォルダー、オンライン上の文書をはじめとする、企業の資産に関するアクセスポリシーを設定する。従業員の退職や異動後は、アクセス権を直ちに適切に変更する。
・デバイスに保存されている重要な企業データを暗号化する。データのバックアップをとり、最悪の事態が発生した場合も復元できるようにする。
・従業員のサイバースキルを保つため、サイバーセキュリティルール遵守の重要性を定期的にリマインドする。
・企業のITセキュリティの課題とニーズに合わせた、サイバーセキュリティ製品の導入を検討する。例えば、エンドポイントセキュリティ統合プラットフォーム「Kaspersky Endpoint Security for Business」や、中小規模のビジネスに特化した「カスペルスキー スモール オフィス セキュリティ」など。
■調査概要
世界14か国の企業や組織に勤務する7,000人を対象に行ったオンライン調査。対象国は、英国、米国、フランス、スペイン、ドイツ、イタリア、ブラジル、中国、メキシコ、日本、マレーシア、南アフリカ、ロシア、トルコで、各国の対象者は500人。実施時期は2018年12月から2019年1月。Kasperskyが英国の調査会社OnePollに委託して実施。
