日本プルーフポイント株式会社は4月22日、「Data Loss Landscape 2024(情報漏えいの全容)」の日本語版を発表した。
BEC事例から実際の手口を紹介--J-CSIP運用状況(IPA)
同レポートは、世界12ヶ国(日本、アメリカ、韓国、シンガポール、オーストラリア、ブラジル、フランス、ドイツ、イタリア、スペイン、イギリス、アラブ首長国連邦)における従業員数1,000人以上の17業種にわたる組織のセキュリティ担当者600人を対象に実施した調査の回答を精査したもので、同社の情報保護プラットフォームと、同社が2023年秋に買収したTessianのデータで補足している。
同レポートによると、日本の組織の過去1年間における情報漏えいインシデントの平均は15件で、1ヶ月に1件以上のインシデントが発生しており、日本の回答者の76%(世界平均70.6%)は、主な原因はメールの誤送信やフィッシングサイトへのアクセス、未承認ソフトウェアのインストール、個人アカウントへの機密データのメール送信などを含む「ユーザーの不注意」を挙げている。
Tessianの2023年のデータによると、従業員の約3分の1が年間 約2通のメールを間違った宛先に送信しており、誤送信されたメールに従業員、顧客、患者のデータが含まれていれば、GDPR(EU 一般データ保護規則)などの法的枠組みのもとで多額の罰金が課されたり、日本の個人情報保護法の違反にあたる場合がある。
情報漏えいインシデントの背後に悪意のある従業員や契約業者といった内部関係者が潜んでいると答えた回答者は、世界平均20%と比較し日本はわずか5%であった。プルーフポイントのグローバルデータによると、9ヶ月間にクラウドテナントで発生した異常なファイル持ち出しの87%が退職した従業員によるものあったが、退職する従業員をリスクの高いユーザーと見なしているのは、世界平均28.7%と比較し日本はわずか17%であった。
日本の回答者の 57%(世界平均63%)は、人事や財務担当者などの機密データにアクセスできる従業員が情報漏えいの最大のリスクであると見なしている。プルーフポイントのグローバルデータによると、1%のユーザーが情報漏えい事案の 88% を引き起こしている。
日本プルーフポイントのチーフ エバンジェリスト 増田幸美氏は「調査12か国中、日本は悪意を持つ内部犯行者による情報漏えいは最下位でした。一方で、不注意による情報漏洩は調査12か国中最上位です。海外では内部犯行を抑止するために内部脅威対策がおこなわれますが、日本においては、不注意な従業員へのタイムリーな注意喚起のための内部脅威対策が必要であることが分かります」とコメントしている。
