ビジネスに最も打撃を与えるデータ損失
2024年1月29日、Siroui Mushegian
1月28日はデータ・プライバシー・デー、ヨーロッパではデータ保護デーとして知られています。データプライバシーとは誰がどの情報にアクセスできるかを決めることであり、データ保護とはその情報を保護することです。そしてデータ侵害は、その両方を吹き飛ばしてしまいます。
データ侵害はどのような組織でも起こりえます。ポネモンインスティチュート(Ponemon Institute)と共同で実施した当社の最新調査によると、世界5カ国の調査対象組織の半数弱にあたる 48 %が、過去1年間に顧客や見込み客、従業員に関する機密情報の紛失や盗難を伴うデータ侵害インシデントを経験しています。金融サービス業界では実に 54 %に上ります。
データ侵害の主な原因については後ほど説明するとして、まずはそのリスクに注目したいと思います。
サイバーセキュリティが組織内で十分に効果を発揮するためには、経営幹部レベルの支援が必要です。そして、リスクはすべてのビジネスリーダーが理解できる言葉です。データのプライバシーと保護に対する強固でコンプライアンスに準拠したアプローチを確保したいのならば、ビジネスリーダーは万が一貴重なデータが失われたら何が起こるのかを知っておく必要があります。
データ侵害はビジネスに何をもたらすのか
前述の調査から、すべてのデータ侵害が同じレベルのビジネスリスクをもたらすわけではないことが明らかになっています。これは重要なインサイトです。これを理解していれば、組織はセキュリティリソースを適切に配分できるのですから。
当然のことながら、紛失または盗難で組織に最大の財務上または業務上の影響を与えるとされたのは財務データです。全回答者の43%が、最も影響の大きい2つのデータ損失の1つに財務データを挙げています。
ほかにも、以下のような興味深いインサイトがありました。
- 全体で2番目に大きな影響を及ぼすとの答えがあったのは、従業員記録の紛失でした(37%)。2位と3位(顧客の個人を特定できる情報、36%)の差はわずかですが、調査対象となったなかでも最大級の規模の組織では従業員記録の紛失が 40 %と高くなっています。これは、組織が顧客よりも従業員に関して、詳細で機密性の高い情報を保有していることが多いという事実を反映していると考えられます。こうした情報が攻撃者の手に渡れば、攻撃者は恐喝のために悪用したり、悪意のある内部関係者をリクルートしたりできます。一方で企業は、高額な訴訟やコンプライアンス違反にさらされかねません。
- 知的財産の損失は、大企業(21%)よりも中小企業(30%)に大きな影響を与えます。おそらく、中小企業は競争上の優位性を得るために知的財産に大きく依存しており、幅広い資産を保有している可能性が低いからでしょう。
- 電子メールや非公式なチャット/テキストの紛失は、より大きな組織に大きな影響を与えます(32%)。これは、ビジネスメール侵害など高度な電子メール脅威のリスクや、法的開示およびコンプライアンスのためにこうした記録を残す必要性を反映している可能性があります。
データ侵害の主な原因
データ侵害の根本原因についての質問もあり、その回答結果からは、デジタルの攻撃対象がどれほど広くなっているかが明らかになっています。無数の弱点があり、それらがネットワークやデータを危険にさらしているのです。
根本原因は大きく4つに分けられます。人、サイバー脅威、サプライチェーン、そしてシステムの欠陥・誤設定です。
その中には次のようなものも含まれます。
- 過失(侵害のうちの42%の根本原因)または悪意(39%)に基づく従業員/請負業者の行為
- パッチ未適用の脆弱性も含む IT セキュリティの見落とし(34%)、システムや運用プロセスのエラー(41%)
- 第三者のミス(45%)
- 外部からの敵によるハッキング(34%)、フィッシング(39%)、ウイルスやその他のマルウェア(49%)。
調査結果では、フィッシング攻撃で損害を被った6社に1社(17%)が機密情報の紛失に至っており、セクターや国に限るとその割合は5社に1社以上と高まります。製造業(22%)、公共部門(21%)、英国(23%)、フランス(21%)といった具合です。
こうした潜在的なブレークポイントの多くは、効果的なセキュリティ技術とポリシーによって対処することができます。
データの保護
昨年、およそ2社に1社がデータ侵害を経験したことを考えれば、やがてすべての組織がデータ侵害を経験することになると考えても飛躍のしすぎではないでしょう。どの組織も、そのつもりでデータセキュリティとコンプライアンスに取り組むべきなのです。
組織の規模にかかわらず、基本的なことをきちんとやっておけば間違いありません。これはすなわち、認証とアクセスに対する強固なアプローチを指します。多要素認証を標準とし、理想的にはゼロトラストアプローチに移行するのです。
組織の IT インフラストラクチャーは、デバイスから API、クラウド資産にいたるまで、攻撃対象領域全体とあらゆるエントリーポイントをカバーし、完全な可視性を提供する、AI を活用した徹底的な防御型のセキュリティ技術を備えている必要があります。
理想的には、24時間365日のセキュリティオペレーションとモニタリングのサポートがあるといいでしょう。そうすれば、サイバーキルチェーンに沿って脅威がさらに進行する前に、あらゆる脅威に対応し、緩和し、無力化できるはずです。
並行して、データを継続的にバックアップする必要もあります。すべてのバックアップデータは、静止中も移動中も暗号化されていることを確認しましょう。3:2:1(3つのバックアップコピー、2つの異なるメディアの使用、うち1つはオフラインで保管)というゴールドスタンダードを適用することです。
従業員のエンゲージメントとトレーニングも、非常に重要です。全従業員に、サイバーセキュリティがなぜ重要なのか、なぜ最新の脅威や詐欺に注意すべきなのか、不審な点を発見したらどうすればよいのかを理解してもらいましょう。
組織の義務を知る
最後になりましたが、あなたがビジネスを行う市場のデータプライバシーと保護規制を知り、遵守していることを確認してください。
データプライバシーに関する情報は、米国ではサイバーセキュリティ&インフラセキュリティ庁(CISA)、国立標準技術研究所(NIST)、連邦取引委員会(FTC)、その他多くの公的機関、民間機関、教育機関から入手できます。
欧州と中東、アフリカ地域、およびアジア太平洋地域も同様です。デロイトの欧州データガイダンスとアジア太平洋データガイダンスには、GDPRコンプライアンスチェックリストなどの主要な地域サイトとともに、データ保護とプライバシーの法律と各地域の動向に関する最新情報が掲載されています。
バラクーダは、ポネモンインスティテュートに委託して、従業員数が 100〜5000人の組織が直面するセキュリティ上の課題と侵害による財務上の影響に関する国際的な調査を実施しました。ポネモン社は2023年9月に、米国(522人)、英国(372人)、フランス(329人)、ドイツ(425人)、およびオーストラリア(269人)の IT セキュリティ担当者1917人を対象に調査を実施しました。調査結果に関するレポート「サイバーノミクス101(Cybernomics 101)」が公開されています。
原文はこちら
The data loss that will hurt your business the most
Jan. 29, 2024 Siroui Mushegian
https://blog.barracuda.com/2024/01/29/data-loss-hurt-business-most