世界14か国の企業に勤務する7,000人を対象に、企業内のデータ管理・保護に関するインターネット調査を実施しました。調査の結果、ファイル共有や共同作業向けのサービスに対するアクセス権の管理が不十分な場合、企業にリスクをもたらす可能性のあることが明らかになりました。
~ デジタルクラッターと不十分なアクセス権管理が、企業にもたらすリスク ~
[本リリースは、2019年5月14日、5月30日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyは、日本を含む世界14か国の企業に勤務する7,000人を対象に、業務で使うデジタルデータの管理に関するインターネット調査※1を実施しました。調査の結果から、デジタルクラッターと呼ばれる、企業内で無秩序に増大する管理されていないファイル、文書やデータの存在、およびファイル共有や共同作業向けのサービスに対するアクセス権の管理が不十分な場合、企業にリスクをもたらす可能性のあることが明らかになりました。
■ 33%が、退職後もファイル共有や共同作業向けサービス、メールにアクセスできると回答
調査では、33%(日本は34%)の回答者が、退職した職場の共有ファイルや共同作業向けサービス、メールにいまだにアクセスできると答えています。元従業員のアクセス権限が変更されずにそのままになっていた場合は、データ漏洩やサイバーインシデントの原因となる可能性があり、企業にとっては重大な問題です。また、元従業員が別の目的でアクセスし、ファイルや文書を誤って削除、または破損してしまい、データの整合性が取れなくなる可能性もあります。
不適切なアクセスの原因には、デジタルクラッターと呼ばれる管理されていない溜め込まれたファイル類の存在や、ファイルの共有や共同作業をするためのサービスへのアクセス権の管理が不十分なことが挙げられます。業務でファイル共有や共同作業向けのサービスを使うと回答した5,866人※2(うち、日本は421人)のうち、誰かが会社を退職、またはプロジェクトから外れるたびに、すべてのファイル共有や共同作業向けのサービスのアクセス権を削除すると回答した人は37%(日本は22%)、アクセス権を定期的に確認し、変更していると回答した人は43%(日本は30%)でした。従業員が退職、または異動した場合には、そのアクセス権を直ちに適切に変更する必要があります。
また、37%(日本は14%)の回答者が、社内の機密情報(同僚の給与・ボーナスや口座情報、パスワードなど)を、共有文書や共同作業向けサービス上のファイル類、メールなど、何らかの形で偶然目にしたことがあると答えました。
業務で使うデジタルデータの秩序を維持するために必要な利用手順やポリシーの整備が不足していたり、アクセス権の管理が不十分なことが原因で、機密情報が社内、社外に流出した場合、従業員のモラルが低下するだけでなく、サイバーインシデントの原因になり得ます。
Kasperskyの法人製品マーケティング責任者、セルゲイ・マルツィンキャン(Sergey Martsynkyan)は次のように述べています。「無秩序なデジタルファイルや管理ができていないデータへのアクセスは、時にデータ漏洩やサイバーインシデントの原因となる可能性があります。デジタルクラッターを食い止めてすべてのファイルを適切な場所に保管し、アクセス権を適切に管理し、必要なデータをいつでも使用できる環境でこそ効率的な作業が望めます。また、企業はセキュリティへの認識、保護、およびポリシーに注意を払い、一般の従業員からIT担当者まですべての従業員は、ファイル共有や共同作業向けサービスの利用方法、重要な文書の暗号化方法、メールの利用ルール、また、フィッシングメールの識別方法などを把握すべきでしょう」
■ サイバーセキュリティをより高めるために、以下について検討することを推奨します。
・メールボックス、共有フォルダー、オンライン上の文書をはじめとする、企業の資産に関するアクセスポリシーを設定する。従業員の退職や異動後は、アクセス権を直ちに適切に変更する。
・デバイスに保存されている重要な企業データを暗号化する。データのバックアップをとり、最悪の事態が発生した場合も復元できるようにする。
・従業員のサイバースキルを保つため、サイバーセキュリティルール遵守の重要性を定期的にリマインドする。
・企業のITセキュリティの課題とニーズに合わせた、サイバーセキュリティ製品の導入を検討する。例えば、エンドポイントセキュリティ統合プラットフォーム「Kaspersky Endpoint Security for Business」や、中小規模のビジネスに特化した「カスペルスキー スモール オフィス セキュリティ」など。
■ 参考情報
・<Kaspersky Labレポート:企業内のデータ管理に関するグローバル意識調査-1>無秩序に増加する、管理されていないデジタルデータがセキュリティ上のリスクに
・調査結果レポート「デジタルクラッター – 職場におけるデータの溜め込みを整理する(Sorting out digital clutter in business)」全文は、こちらをご覧ください。
※1 世界14か国の企業や組織に勤務する7,000人を対象に行ったオンライン調査。対象国は、英国、米国、フランス、スペイン、ドイツ、イタリア、ブラジル、中国、メキシコ、日本、マレーシア、南アフリカ、ロシア、トルコで、各国の対象者は500人。実施時期は2018年12月から2019年1月。Kasperskyが英国の調査会社OnePoll に委託して実施。
※2 この質問の対象者は英国を除いた6,500人。マルチアンサー。