インサイダーリスク、組織が直面する深刻な問題【サイバーセキュリティ意識向上月間】
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「サイバーセキュリティ意識向上月間:データセキュリティを内部から強化」を再編集したものです。
サイバーセキュリティ意識向上月間は、組織のデータの保護が外部からの攻撃の防御だけを意味するのではないことを再認識する機会です。また、組織内でデータをどのように扱うかも重要です。従業員が生産性を維持するため、ハイブリッドネットワーク上で機密情報を使用したり共有したりすることが増えているため、これまで以上にデータがリスクにさらされています。
フォーティネットがCybersecurity Insidersと共同で調査を実施し、作成した「2025年インサイダーリスクレポート」によると、データ漏洩を伴うインサイダー関連のインシデントは、現在も組織が直面する深刻でコストのかかるリスクとなっています。
データ保護は共有の責任です。レジリエンスの構築には、従業員とセキュリティ専門家の双方が重要な役割を果たします。適切なツールを導入し、効果的なコーチングを行い、賢明な行動を採用することで、偶発的なデータ漏洩と悪意のあるデータ漏洩の両方のリスクを軽減できます。
インサイダーリスクの現実
同レポートによると、77%の組織が過去18ヵ月間にインサイダー関連のデータ漏洩インシデントを経験しており、その過半数が6件以上のインシデントを報告しています。そのうちの半数近く(49%)は、悪意によるものではなく、メールの誤送信、安全でないファイル共有、許可されないクラウドアプリの使用といった単純な過失の結果として起こったものです。
しかし、理由が何であれ、影響が深刻であることに変わりはありません。45%の組織が経済的な損失を報告し、43%が評判の低下を挙げ、39%が業務の中断を経験しました。インシデント1件当たりの損失が100万ドルを超えるケースも、半数に上っています。
また、生成AIの導入が急速に進むなか、さらなる懸念が生じています。45%の組織が、従業員が生成AIツールで機密データを共有することを「非常に懸念」していることから、従業員がデータをどう扱うかが、直接的にビジネスの成果に影響を与えることは明らかです。
可視化の重要性
組織は、従業員が外部の脅威に対する警戒を怠らず、社内ポリシーを遵守することを期待しています。しかし、データを安全に取り扱うための行動習慣を効果的に監視し、適用するために必要な仕組みを導入している組織はほとんどありません。一般的に年1、2回行われる意識向上トレーニングは重要ですが、その効果は限定的です。同様に、フィッシングシミュレーションも、確かに不審なメールに対する注意力を高めますが、日常的な機密データの取り扱いには対処できません。
必要なのは、可視化、行動の監視、リアルタイムのコーチングを組み合わせ、過失とインサイダーによる悪用の両面でリスクを軽減する多層型のアプローチです。これを実現するのが次世代DLPとインサイダーリスク管理ソリューションであり、レガシーのツールにはない以下の機能を提供します。
・データの使用/露出リスクを即座に可視化
・データの移動とユーザーの行動を関連付けた統合的なインサイトにより、全体像を把握
・自動化されたガードレールにより、リスクの高い行動を検知し、潜在的な違反が発生する瞬間に従業員を指導
・ハイブリッド/クラウド/AI駆動型のワークフロー全体を一元管理
こうした統合ソリューションにモジュール式トレーニングやフィッシングシミュレーションを組み合わせることで、従業員教育とデータ保護を継続的かつ状況に応じて強化するアプローチが実現します。
従来のアプローチの限界
従来のDLPソリューションは、レガシー環境向けに設計されたものであり、その限界は調査結果に示されています。エンドポイントやクラウドアプリケーションなどで、データの使用状況をリアルタイムで可視化できると回答した割合はわずか33%であり、データを危険にさらしているユーザーを特定できると回答した割合は27%にとどまっています。
これは、レガシーのシステムがデータの移動に重点を置く傾向があり、ユーザーの行動やコンテキストに焦点を当てていないためです。データが「なぜ」、または「誰によって」露出したのかを説明できず、今日のハイブリッドワークモデルやクラウドネイティブのワークフローに適応することもできません。
しかし、従業員がデータをどのように扱っているかを可視化できなければ、組織はインシデントを防止するのではなく、アラートに事後的に対応することになります。さらにセキュリティチームは、観察されたリスクパターンに基づいて適切なタイミングでコーチングを行う機会も失うことになります。
従業員へのアドバイス:データセキュリティ強化のための重要な行動
サイバー意識向上月間は、データを保護するための日々の習慣を見直す良い機会です。従業員一人ひとりがリスクを軽減するためには、以下のベストプラクティスを遵守することが重要です。
・サイバーセキュリティに興味を持つ:トレーニングセッションに参加し、ウェビナーを活用し、従業員自身と所属組織を守るツールについて学びます。
・データの価値を認識する:顧客記録、個人情報、知的財産は、特にAIツールの使用やファイルの共有時には慎重に取り扱います。
常に最新のトレーニングを受ける:意識向上プログラムは一度きりで終わるものではありません。新たな脅威の出現やベストプラクティスの登場に応じて、定期的に学び直す必要があります。
・シャドーITを避ける:個人のクラウドアカウントに機密データをアップロードしたり、一般向けAIツールに貼り付けたりしてはなりません。承認された監視対象のプラットフォームを使用します。
・共有する前に考える:送信する前に、受信者と添付ファイルが正しいことをもう一度確認します。誤りに気づいた場合は、直ちにIT部門またはセキュリティチームに報告します。
・安全なコラボレーションツールを使用する:アクセス制御、ログ記録、監視の対象となる認可されたプラットフォームを使用します。
小さな行動の変化が大きな影響をもたらします。データ漏洩のインシデントの多くは、未然に防げるミスが原因で発生しています。
セキュリティ専門家へのアドバイス:データセキュリティ強化のためのアクション
当然ですが、効果的なサイバーセキュリティはチームの取り組みの結果として実現できるものです。以下に、セキュリティ専門家が取り組みを強化するための簡単なステップをいくつか紹介します。
・「2025年インサイダーリスクレポート」を読む:他社のセキュリティチームがどのようにインサイダーリスクに対応し、データ保護プログラムの成熟度を高めているかを学びましょう。
・次世代DLPとインサイダーリスク管理ソリューションを評価する:可視化、行動分析、SaaSアプリケーション制御、リアルタイムのユーザーコーチングを組み合わせた機能を探します。
・セキュリティ意識を高める:モジュール式トレーニングやフィッシングシミュレーションを強化し、コンテキストに対応してユーザーの危険な行動をトリガーとするコーチングを提供します。
・安全な生成AIによる生産性向上を実現する:明確な使用ポリシーを確立し、イノベーションと制御のバランスをとる許可されたAIツールを提供します。
・正当な行動を支援する:ユーザーの活動を把握して正当なワークフローを認識し、安全性を確保しつつ生産性を維持できるようにポリシーを調整します。
共有の責任
データ漏洩は、もはやコンプライアンスだけの問題ではなく、事業継続にかかわる重大な問題でもあります。深刻なインサイダーリスクの可能性が日常的な現実となっている現在、すべての従業員は機密データを保護する役割を担っています。
セキュリティチームは、次世代DLPとインサイダーリスクソリューションを活用することで、リスクが発生した瞬間にユーザーを指導し、組織の成熟度を高めるために必要な可視性と自動化を実現できます。
従業員は、トレーニングを修了し、データの取り扱いポリシーに従うことが重要です。コンテキストに応じて即時に提供されるコーチングを受け入れることが、偶発的なデータ漏洩を防ぎ、組織全体のレジリエンスを高める上で役立ちます。
サイバー意識向上月間は、組織内の一人ひとりが防御の責任を担っていることを再認識できる絶好の機会です。警戒心、テクノロジー、チームワークを組み合わせることで、内部からデータセキュリティを強化できます。
今日の組織が直面するこの拡大する課題についての詳細は、「2025年インサイダーリスクレポート」をダウンロードしてご確認ください。