Vormetricは、データセキュリティ調査を毎年行っており、4期目となる今回の調査は、米国の調査・分析会社である451リサーチ社の協力により行われた。Vormetricは、グローバル全体のレポート、および、クラウド、ビッグデータ、IoTに特化したレポートを発行しており、今回発表する日本版レポートは、日本の企業・団体のデータ脅威に対する認識、データ漏洩発生状況、データセキュリティに対する考え方や投資計画をまとめている。
「Vormetric 2016 Data Threat Report 日本版」の概要について解説する
米 Vormetric社 Vice President of Marketing Tina Stewart(ティナ・スチュワート)氏
同社では、今回の日本における調査結果を次のようにまとめている。
- 日本企業・団体の93%がデータ脅威に対して脆弱であると感じている
- 39%が過去にデータ漏洩の被害を受けており、不安を感じている
- 外部からの脅威として感じているのは、サイバーテロリスト77%、サイバー犯罪76%
- データへの脅威や脆弱性を感じているにもかかわらず、重要データを守るための投資の増加を考えている企業はわずか30%
今回の調査で日本企業にとってポジティブな結果として次の点があげられている。
コンプライアンスに対する現実的な考え
昨今の攻撃は、マルチレベル/マルチフェーズで多様化しており、コンプライアンスの基準に対応しているにも関わらず、攻撃からの防御に失敗する例が相次いでいる。世界中で、深刻なデータ漏洩の被害にあった企業・団体の多くが、PCIや他の標準が定めるコンプライアンス要件を満たしていた。
それにもかかわらず、世界で64%が、データ漏洩を防ぐためにコンプライアンスが「大変効果的」もしくは「きわめて効果的」と回答している。それに対して日本は、コンプライアンスが効果的と回答したのは、わずか33%だった。
クラウドの重要なデータ
クラウド環境内での機密データの利用が低ければ、セキュリティリスクも低くなる。日本の回答者のクラウド環境内での機密データ利用状況は、SaaSおよびIaaSが37%、PaaSが39%で、世界各国と比べても最も低い割合を示していた。
急成長しているこれらのクラウド環境での、機密データの利用が低いので、リスクを感じる割合も低い結果となっており、機密データの保管場所としてリスクを感じるトップ3で、SaaSと回答したのはわずか17%、IaaSおよびPaaSがそれぞれ11%だった。
特権ユーザに対するリスクの認識
データに対する内部不正の脅威の認識については、「特権ユーザ(システム管理者やシステムやネットワークをメンテナンス、管理するIT部門スタッフ)」が49%でトップ、「一般社員」が45%、「役員」が36%でした。これは、「一般社員」がトップの56%で、「特権ユーザ」がわずか36%で3位だった昨年よりも、前向きな変化があったことを意味する。
オペレーティングシステムやアプリケーションでは、特権ユーザはシステム上の全てのデータへのアクセス権限を持つ場合多く、そのため内部からの不正アクセスの最大のリスクとなり、さらにアカウントの不正使用を狙う外部攻撃者の最大のターゲットとなる。
また、調査で明らかになった日本企業の潜在的な問題として次の点をあげている。
データセキュリティツール導入の最大の障壁は「予算」と「煩雑性」
日本企業がデータセキュリティを導入できない理由は、「予算不足」が1位(49%)、続いて「煩雑性」(44%)、「スタッフ不足」(37%)。データセキュリティの課題を解決するための予算が不足しているので、「データが脆弱と感じている」割合が高く(93%)、ITセキュリティ投資を増額する計画があると回答した企業が少なかった(31%)と思われる。
機密データの保管場所の把握
機密データの保管場所を「完全に把握している」と回答したのはわずか21%。65%は機密データの保管場所に関して「いくらか把握している」と回答しているが、これは日本企業内の機密情報が少なからずリスクにさらされていることを示している。
データセキュリティによる防御は、他の防御を突破された際の最後の砦だが、機密データを包囲する形で設置されることが必須となる。機密データの保管場所を正しく把握していなければ必要な予防策を講じることができない。
データ漏洩を抑止できないツールへの投資が増加
日本企業が、今後投資を増やす計画であると回答したセキュリティ分野は、「ネットワーク防御」(29%)や「エンドポイント・モバイル防御」(26%)のためのツールに集中しているが、これらは、相次いでデータ漏洩防止に失敗している。保存データ(data-at-rest)防御への投資の増加を検討している企業はわずか20%であった。
なお、本調査レポートは、Vormetric社のWebサイトから無料でダウンロードできる。
