このページの本文へ

効率とセキュリティーの落とし所はどこか

「企業と従業員のセキュリティー意識は乖離している」 デル報告書より

2017年05月22日 15時10分更新

文● 天野透/ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

 デルは5月22日、企業と従業員を対象とした機密情報やデータセキュリティーに関する意識調査「エンドユーザーセキュリティー調査(Dell End-User Security Survey)」の結果を発表した。調査は従業員数250人以上の企業で機密性の高い、または規制されたデータや情報に個人的にアクセスする2608人の担当者を対象としたもの。日本、オーストラリア、カナダ、フランス、ドイツ、インド、英国、米国の8か国で、2月24日から3月9日にかけて実施された。

 調査によると、4人中3人近くとなる72%は、機密性の高い、または規制された企業情報を共有すると回答。上長の指示や業務の効率化などを理由に、企業と従業員、または従業員同士が機密情報を共有する傾向があるということが判明した。その際にデータセキュリティーの手順が不定、あるいは考慮せずに情報を共有していることが明らかになった。

 デルではこの結果を「従業員が職務における生産性と効率性を維持しながら企業データのセキュリティーを確保するという、相反する2つの義務の板挟みになっていることを示しています」と分析。「企業がデータセキュリティーの問題に対処するためには、従業員の生産性を妨げることなく常にデータを保護するように従業員を教育し、適切なポリシーと手順を適用することに重点を置く必要があります」と指摘した。

 また、公衆無線LANによる機密情報へのアクセスや、企業の情報を所持したまま退社することが一般的といった調査結果を「職場で一般的となっているリスクのある行動」と分析。報告では「回答者の24%は業務の遂行のためであったこと、18%は危険なことを行っていることを認識していなかったことを挙げています。リスクのある行動をとる際に自分に悪意があったという回答は、3%にとどまりました」としており、潜在的なセキュリティーリスクを指摘している。

 さらに従業員の65%は、潜在的リスクの学習や企業を保護するような行動を含め、機密情報の保護に責任を感じており、63%の従業員は機密データの保護に関するサイバーセキュリティー・トレーニングを受ける必要があると回答。その一方でトレーニングを受けた従業員の18%は、自覚のないままにリスクのある行動をとっており、24%は業務完了のためにリスクのある行動をとっていると回答したという。このような状況に対してレポートでは、従業員が情報の保護をサポートする責任を認識しながら、そのための十分な権限を与えられているとは考えていないと報告している。

 デルのエンドポイントデータセキュリティーおよびマネージメント担当バイスプレジデントであるブレット・ハンセン(Brett Hansen)氏は、次のように述べている。「セキュリティーニーズは企業ごとに異なりますが、今回の調査結果は、従業員がリスクのある方法でデータを共有してしまいがちな日常業務やシナリオに関する理解を深められるように努力することが企業にとって重要であることを示しています。データの保護と従業員の生産性のバランスを実現するには、エンドポイントおよびデータのセキュリティーソリューションの導入に加え、一般的なシナリオに対応したシンプルで明確なポリシーを策定することが重要です」

 また、National Cyber Security Allianceのエグゼクティブ ディレクター、マイケル・カイザー(Michael Kaiser)氏は、次のように述べている。「職場を安全でセキュアな場所にする上で各自が重要な役割を果たすように従業員に徹底させることは、あらゆる規模の組織に不可欠です。企業がサイバーセキュリティーの実践を従業員に啓蒙しても、従業員が機密データの扱い方に自信を持てていない、または権限を持っていると感じられていない場合は、アプローチを見直す必要があります。サイバーセキュリティー啓蒙は、職場文化になくてはならないものにしなければなりません。これは、自分の判断が意味することに従業員が自信を持てない場合に、それをはっきりと口に出すように、実務の場で継続的な対話を通じて権限を与え、奨励することで築き上げる必要があります。サイバーセキュリティー啓蒙は、1回のコースやセミナーでまかなえるものではなく、セキュリティーを協調的で継続的な文化イニシアティブにすることで実現されます」

ASCII.jpおすすめパック
製品ラインナップ
インテルバナー