2023年のプライベートデータ露出リスクトップ15

デジタルトランスフォーメーションを推進する動きが続く中、組織は重大なセキュリティとコンプライアンスのリスクにさらされています。デジタルトランスフォーメーションの取り組みにガードレールを設けるため、各国政府や国際標準化機関はデータプライバシーを保護するためのさまざまな規制を制定しています。企業はその結果、コンプライアンスを求められる圧力を感じています。今年初めにPwCが実施した調査によると、デジタルトランスフォーメーションの採用に伴う問題の中で、データ保護とプライバシー規制が経営者の頭を最も悩ませていることが明らかになりました。実際、同調査では、コンプライアンスと規制リスク、サイバーリスク（35%で同率）が、他のさまざまなリスク関連の問題を上回る最大のリスク懸念として特定されました。

データの拡散は、経営者がコンプライアンスと規制リスクを懸念する主な要因です。データの量は急増し続け、ほぼすべての業界や部門機能に存在するデータ駆動型ビジネスモデルに関連しています。データ、特にプライベートコンテンツデータは、従来はオンプレミスに保存され、手動プロセスを通じて共有されていました。今日では、プライベートコンテンツはクラウドに移行し、どのデバイスや場所からでもアクセスしやすく、簡単に共有できるようになっています。その結果、プライベートコンテンツは、悪意のある、または偶発的な不正アクセスにこれまで以上に脆弱になっています。

データプライバシーのセキュリティとコンプライアンスリスク

データプライバシーの露出リスクは、規制コンプライアンスとサイバーセキュリティの進化を促しています。各国政府は、組織がプライベートデータを送信、共有、受信、保存する方法を規制することで、これらのリスクに対応しています。組織はそれに応じて、セキュリティとコンプライアンスのガバナンスを合理化し、自動化するための技術に目を向けています。

組織が来年に向けてサイバーセキュリティリスク管理戦略とプログラムを再評価し進化させる中、私たちのチームは2023年の機密コンテンツ露出リスク管理予測レポートをまとめました。私たちは毎年何千もの組織と対話し、IT、セキュリティ、リスク、コンプライアンスのリーダーがデータプライバシー露出リスクのギャップと優先事項を特定するために活用できるさまざまな予測領域をその対話からまとめました。以下は、レポートで強調されたリスクと予測の概要です。

機密コンテンツ通信の増加

送信および共有されるプライベートデータの量は指数関数的に増加し続けています。ファイル共有市場は2027年までに年平均成長率（CAGR）28.1%で増加すると予測されており、マネージドファイル転送（MFT）市場は同期間にさらに速い28.3%のCAGRで拡大すると予測されています。また、インスタントメッセージングやコラボレーションプラットフォームの採用が進んでいるにもかかわらず、2020年から2023年にかけて12%の増加が見込まれるメールのボリュームも増加し続けるでしょう。

組織内および第三者との間でプライベートデータが交換されるにつれて、そのデータの多くが傍受され、侵害されることになります。傍受はリスク要因の一つに過ぎません。プライベートデータがどのように受信され、保存されるかも他のリスク領域です。その結果、組織は、悪意のあるサイバー犯罪者や不正国家からプライベート情報を保護するために、セキュリティの層を使用する深層セキュリティアプローチを採用した機密コンテンツ通信プラットフォームを必要としています。これには、誤って送信されたメールや共有コンテンツを取り消す機能も含まれます。

これらのリスク要因は、2023年の予測領域として次の2つに分けられます：

1. リスクはあるものの、機密データの共有はビジネス要件である

2. 機密コンテンツの不安定なメール送信は依然として重大なリスクである

サイバー攻撃のリスクが増大

多くのサイバー攻撃の目的は、個人識別情報（PII）や保護対象保健情報（PHI）、知的財産（IP）、財務書類、法律顧問、製造スケジュールを含む機密情報を取得することです。このプライベートコンテンツを盗んだサイバー攻撃者は、身代金を要求したり、恐喝に利用したり、ダークウェブで販売したり、競合他社に提供したりすることで収益化できます。プライベートデータの露出を被った企業は、公共の場での屈辱とブランドの侵食に直面します。

私たちの予測レポートは、2023年の4つの異なる領域を特定しています：

3. マルチテナントクラウドホスティングはサイバー攻撃者に肥沃な土壌を提供する。数千ドルで、悪意のある者はMicrosoftや他のソフトウェアプロバイダーのクラウドインスタンスを取得できます。そして、サンドボックス環境で、脆弱性を特定し、ソフトウェアサプライチェーンを移動する機密コンテンツを傍受するために使用される複雑なエクスプロイトを開発できます。それに応じて、FedRAMP認証を持つ専用サーバーで他のテナントから隔離されたシングルテナントホスティングソリューションの使用が2023年に増加するでしょう。

4. サプライチェーン内の第三者がリスクを増加させる。私たちの調査によると、組織は数千の第三者のサプライヤー、請負業者、法律顧問、その他の外部エンティティがプライベートコンテンツにアクセスし、送信、共有、受信、保存しています。ほとんどの組織は、第三者と送信および共有されるプライベート情報を保護するためのリスク管理プラクティスの採用が遅れています。予算に敏感な組織は、2023年にサプライチェーンパートナーにますます目を向けるでしょうが、固有のリスクがあります。

5. 不正国家の軸が拡大し続ける。昨年のロシア・ウクライナ戦争やその他の要因により、不正国家からのサイバー攻撃について多くの話を聞きました。Mandiantの最近の研究は、重要インフラへの攻撃の上昇傾向が2023年にも続くと予測しており、攻撃の大部分は北朝鮮、ロシア、中国、イランの不正国家の軸から来るとしています。プライベートコンテンツは彼らの主要なターゲットであり、組織はそれを保護するために注意を怠らないようにしなければなりません。

6. サイバー攻撃者はますます洗練され、危険になる。サイバー犯罪は今や数十億ドル規模の産業です。資金力のある犯罪組織や不正国家は、人工知能（AI）や機械学習（ML）などの高度な技術を駆使して、数ヶ月または数年にわたってその存在を隠し、テラバイトの機密コンテンツを盗んだ後に足跡を消します。

プライベートデータ露出リスクに対応するためのサイバーセキュリティリスク管理の進化

組織は、サイバー攻撃者による技術的、金銭的、プロセスの進化に対応するために、サイバーセキュリティリスク管理戦略を進化させています。米国連邦政府では、ホワイトハウスの大統領令14028やその後のゼロトラストとサイバーセキュリティ成熟度モデル認証（CMMC）などの新しい基準と命令でこれを見てきました。

私たちの2023年予測レポートは、2023年に組織が機密コンテンツを管理するために採用する6つのサイバーセキュリティ領域を特定しています：

7. コンテンツ定義のゼロトラストとプライベートコンテンツネットワーク。ほとんどの組織は、ネットワークの境界とイベントのIDおよびアクセス管理にゼロトラストを採用しています。上記のように、コンテンツは多くのサイバー攻撃のターゲットであり、組織は同じゼロトラストの原則をコンテンツに適用する必要があることに気づき始めています。これにより、プライベートコンテンツネットワークが生まれ、コンテンツポリシーゼロトラストを使用して機密コンテンツのデジタル通信を保護する専用プラットフォームが提供されます。

8. 最小特権アクセスと認証。Mandiantの最新のM-Trendsレポートによると、初期感染ベクトルの11%は盗まれた認証情報が原因です。それに応じて、多くの組織はネットワークおよびアプリケーションアクセスのために認証情報の窃取を防ぐために多要素認証を採用しています。これをコンテンツアクセスにも拡張する必要があります。

9. より多くの企業が暗号鍵の単独所有を選択する。多くのエンドカスタマーは暗号鍵を共同管理しており、これにより法執行機関やセキュリティ機関、弁護士、その他のエンティティがエンドカスタマーを迂回してクラウドプロバイダーに暗号鍵を召喚することができます。それに応じて、組織は暗号鍵の単独所有を提供するベンダーを求め、エンドカスタマーのみがデータにアクセスできるようにします。

10. 第三者ライブラリとソフトウェアの脆弱性を軽減する。2022年に公開された共通脆弱性と露出（CVE）の数は、2021年に公開された数よりもすでに35%多くなっています。ソフトウェアの大部分がオープンソースで構成されているため、組織はソフトウェアサプライチェーンを常に評価する必要があります。したがって、組織はオープンソースの脆弱性のCVSS深刻度レベルを低減するために、セキュリティ強化と複数のセキュリティ層を使用するソリューションプロバイダーを探すでしょう。

11. AIがデータ共有と転送の異常を検出するためにより広く採用される。AIは、機密コンテンツの高度な検出と保護を含むサイバーセキュリティの分野でほぼ無限の可能性を持っています。組織は、機密コンテンツ通信およびセキュリティオペレーションセンター（SOC）ツール内でAI機能を使用して、プライベートコンテンツに関連する異常な行動（例：アクセス、送信、共有の急増など）を検出し、セキュリティチームにリアルタイムでアラートを送信できます。

12. 組織はセキュリティ強化とセキュリティ投資の統合により多くのリソースを集中させる。IT、セキュリティ、リスク、コンプライアンスチームは、脅威インテリジェンスとコンプライアンスデータを単一のビューに統合できるとき、より効果的かつ効率的に運営されます。組織は、セキュアなファイル共有、コンテンツ無害化と再構築（CDR）、データ損失防止（DLP）、高度な脅威対策（ATP）を機密コンテンツ通信を管理するためのプラットフォームまたはツールに組み込むことで、サイバーリスクを劇的に低減します。

プライベートデータのデジタル交換の規制

ガバナンスは今やリスク管理の基本的な基盤と見なされています。組織は、サイバー脅威からプライベートコンテンツを保護し、増え続ける規制と基準のリストに準拠していることを示すために、適切な追跡と制御を備えている必要があります。以下の3つの予測領域が2023年のリストを締めくくります：

13. 新たなデータプライバシー規制の拡大に対応する。最新のカウントでは、世界中で80以上の国が何らかの形でデータプライバシー法を制定しています。医療保険の相互運用性と説明責任に関する法律（HIPAA）は、PHIに関連するデータプライバシーを規制しています。FISMA、GLBA、PCI DSS（支払いカード業界データセキュリティ基準）などは、財務情報とPIIの保護を規定しています。EUのGDPRは、地域レベルでデータプライバシーを規制した最初の法律の一つでした。米国では、CCPA（カリフォルニア州消費者プライバシー法）が最初の法律でした。2023年に施行される類似の法律を制定した州がさらに4つあります。これらおよびその他のデータプライバシー法の結果として、組織は包括的なセキュリティ制御とコンプライアンス追跡および報告機能を備えたソリューションを求める必要があります。

14. プライベートデータ交換のジオフェンシングが増加する。特定の管轄区域内および管轄区域間で共有されるプライベートデータは、保護され、管理されなければなりません。ジオフェンシングを使用して、PIIやPHIなどのプライベートコンテンツの管轄区域間での不正な送信と共有を防ぐ必要があります。これには、送信、共有、受信のブロックと、データ所有者の母国に保存される個々のファイルとフォルダーを制約するデータ主権制御の使用が含まれます。

15. ベストプラクティスのサイバーセキュリティ制御とフレームワークの採用。ISO 27001、NIST CSF、SOC 2などのサイバーセキュリティフレームワークの影響は、範囲が拡大し続け、その採用もそれに応じて進むでしょう。組織が機密コンテンツ露出のリスクを評価する際、ますますサイバーセキュリティフレームワークに目を向けるようになります。

Kiteworksで機密コンテンツ露出のリスクを軽減する

サイバー犯罪とコンプライアンス規制によってもたらされるリスクはかつてないほど高まっています。データ分析と科学の急速な成熟とサプライチェーンの拡大により、データの共有と転送が多くのデジタルトランスフォーメーションの取り組みの最前線に押し出されています。これらは、運用効率の向上から収益成長の機会まで、競争上の優位性を提供するビジネスクリティカルな取り組みです。

しかし、ほとんどのサイバー攻撃がプライベートデータの傍受に焦点を当てているため、続いて政府および業界のエンティティがそのプライベートデータを保護する方法を規制しているため、リスクは増加し続けます。私たちは、プライベートコンテンツネットワーク（PCN）の形で機密コンテンツ通信全体にコンテンツポリシーを適用するコンテンツ定義のゼロトラストアプローチがこれらの課題に対する答えであると信じています。Kiteworks PCNは、機密コンテンツ通信を1つのプラットフォームに統合し、そのコンテンツをプライベートに保ちながら、堅牢な追跡と制御を通じてコンプライアンスを証明することを可能にします。

私たちの完全な2023年予測レポートをチェックし、3人のスーパースターゲストをフィーチャーしたウェビナーパネルディスカッションに参加し、2023年予測レポートのウェブページをご覧ください。