セキュリティの脅威は外から？内から？

※この記事は、Clearswiftの製品担当上級副社長、ガイ・バンカー博士（Dr. Guy Bunker）の寄稿です

情報セキュリティといえば、外部のハッカーやサイバー犯罪者が組織のネットワーク内部に入り込んで情報を盗むものと考えがちです。Clearswiftが委託した、情報セキュリティ事件の全体像を調べる調査では、調査対象企業の83%が過去12か月の間にセキュリティ侵害を受けたと回答しています。しかし、事件の58%は、セキュリティ関連の支出が集中する領域とは裏腹に、正体のはっきりしない悪意ある部外者ではなく、組織の内部から始まったものでした。容疑者はあなたや私のような人々、つまり従業員や元従業員、そして信頼されているパートナーなどです。

調査では、通信方法や業務の仕方が変化する今日において、72%の組織はそのサポートに必要なセキュリティ環境やポリシーの変更に対応することに手を焼いていることが明らかになりました。ビジネスの実践とリスクの両方における最も大きな変化の1つは、BYOD（私物デバイスの持ち込み）の増加でしょう。

しかし、従業員によるBYODの採用が奨励されている（または少なくともやめるよう指示されていない）ならば、こうした種類のセキュリティリスクの責任を従業員だけのものとしてひとまとめにするのはフェアではありません。おおよそ3分の1（31%）の組織は、BYODに積極的に対処しており、一方で完全に禁止しているのは11%です。BYODを禁止している組織では、内部でのセキュリティ上の脅威が発生する傾向が強くなります（37%。対して、BYODを積極的に管理している組織では18%）。調査では、53%の組織が、従業員はBYODが認可されているかどうかにかかわらず、企業ネットワーク上で個人所有デバイスを利用していると回答しました。現実から目を背けて何も起こっていないかのように装うのではなく、企業が責任を持って従業員のBYODを管理する必要があるでしょう。
さて、それでは次は何でしょうか。組織は、内部からの脅威が少なくとも外部からの脅威と同じ程度に重大であることを認めて、それに基づいてセキュリティ支出を計画する必要があります。BYODに関して言えば、包括的な一連のポリシーを一刻も早く整備しなくてはなりません。従業員が個人で所有するデバイスを安全に使用できるように、ユーザーと雇用者の両方に対して、BYODが持つリスクやそのリスク軽減のための方法などについて教育し、認識を高めるプログラムを用意する必要があります。もしも自分の会社がBYODの規則をいまだに発表していないなら、従業員に対して私たちが推奨するルールを以下にご紹介しますので、実践してみてはいかがでしょうか。

1. 自分の会社（またはあなた自身）を危険にさらさないようにしましょう。企業データの処理に個人のデバイスを使うこと、そしてUSBメモリを使うことも、システム管理者や情報セキュリティ担当者との事前の相談なしでは危険です。
2. USBメモリを使用する必要がある場合は、暗号化機能を備え、できれば会社が承認したものを使用します。数多くの種類から選べますし、暗号化されていないものと比べてもそれほど高くはありません。20ポンドで自社の評判を保つことができるでしょう。
3. プライベートの電子メールアカウントについても同じことが言えます。企業のメールがダウンしているなど、個人用の電子メールを使用する差し迫った必要性がある場合は、厳重なセキュリティレベルを適用した専用のアカウントを設定しましょう（2段階認証を導入したGmailはいい出発点になるでしょう）。
4. どんな文書でも必ず暗号化された形式で送信しましょう。暗号化には、パスワード保護されたMS Office文書から強力なパスワードを設定したZIPファイルまで、たくさんの方法があります。もちろん、パスワードを同じ電子メールで送ってはいけません。受信者に電話して、パスワードを伝えましょう。
5. システム管理者や情報セキュリティ担当者との事前の相談なしに、業務用の電子メールアカウントを個人用デバイスに設定するのは止めましょう。