DRMの「やり直し」の時が来た:Kiteworksの2023年機密コンテンツ通信レポートからの教訓
デジタル化がリスクを増大させる
世界中の民間および公共の組織は、デジタル通信にますます依存するようになっており、強固なサイバーセキュリティ対策の必要性がますます重要になっています。デジタル通信の成長はサイバー脅威の増加と一致しており、悪意のある国家、サイバー犯罪者、ブラックマーケットのマネージドサービスプロバイダーが、機密コンテンツが提供する豊富な報酬に注目しています。
ハーバード・ビジネス・レビューによると、サイバー攻撃がデータに与える財務的、法的、コンプライアンスへの影響は劇的です。例えば、データ侵害を経験した企業の監査費用は、経験していない企業に比べて約13.5%高くなっています。そして、下流への影響もあります。データ侵害を経験した組織の60%が価格を引き上げています。上場企業にとっては、測定可能な影響があります。データ侵害を受けた企業は、1年後にNASDAQを8.6%、2年後に11.9%下回ります。
サイバー攻撃の巧妙化により、サイバー脅威に対抗することがますます困難になっています。例えば、ある調査では、2021年に観察されたことのない脅威グループが80%、マルウェアが40%であることが判明しました。その結果、これらの攻撃をブロックすることがますます難しくなっています。
機密データ侵害の増加
この悪意の波に乗って、機密コンテンツの盗難が驚異的な速度で増加しています。Mandiantの2023年M-Trendsレポートは、データ盗難事件が1年間で29%から40%に増加し、37%の驚異的な増加を示しています。さらに、2022年に新たに900の脅威グループを含む3,500以上の脅威グループがこれらの攻撃に関与しており、事件の4分の1以上でファイルのデコードと削除が行われています。Kiteworksの最新の機密コンテンツ通信プライバシーとコンプライアンスレポートでは、パスワードと認証情報の攻撃、URL操作、サービス拒否が機密コンテンツ通信に対する最も頻繁な攻撃ベクトルとして特定されました。
2023年のVerizonデータ侵害調査レポートは、これらの攻撃における個人データの重要性を強調しており、侵害の半数以上が個人識別情報(PII)と保護対象保健情報(PHI)を含んでいます。攻撃ベクトルに関しては、メールが主要なセキュリティ問題であり、ウェブアプリケーションやデスクトップ共有ソリューションがそれに続いており、社会工学攻撃の約60%がプレテキスティングとビジネスメール詐欺(BEC)に関連しています。
一部のデータ侵害は偶発的
増大するサイバー脅威の状況は、これらの悪意のある行為者の行動だけで形成されているわけではありません。人為的なエラーが機密コンテンツの露出に大きな役割を果たしています。Verizonのレポートによれば、データ侵害の43%がデータの誤配信に関与しており、23%が誤った公開によるもので、誤ってデータを誤った受信者に送信または共有したり、無許可のユーザーに機密フォルダ、ファイル、ウェブフォームデータへのアクセスを許可したりすることが原因です。
データプライバシー規制の台頭
機密データハックのコストが増加する中で、世界的なデータプライバシー規制への注目が高まっています。これらはデータプライバシー基準からサイバーセキュリティベンチマークまで多岐にわたり、さまざまな管轄区域で事業を展開する企業に厳しいコンプライアンス要件を課しています。
例えば、欧州連合の一般データ保護規則(GDPR)は、2018年の施行以来、個人データに関する世界で最も厳しい規制の一つとして浮上しています。これは27のEU加盟国にまたがり、非遵守に対して重大な罰則を伴います。しかし、GDPRだけではありません。現在、157カ国が重要な国家データ保護規制を持っており、15ヶ月前の145カ国から大幅に増加しています。
米国は、GDPRに類似した国家規制を欠いている一方で、医療保険の相互運用性と説明責任に関する法律(HIPAA)に基づく厳しいPHI保護要件を施行しています。さらに、2018年にカリフォルニア州消費者プライバシー法(CCPA)が成立した後、いくつかの米国の州が独自の規制を導入しています。これにより、企業が遵守しなければならない複雑な規制の織り成すタペストリーが形成されています。
特に米国の政府契約企業は、追加の規制を受けています。連邦リスク承認管理プログラム(FedRAMP)は、すべての米国政府機関および請負業者に対してクラウドサービスのサイバーセキュリティ慣行を標準化しました。サイバーセキュリティ成熟度モデル認証(CMMC)2.0は、国防総省(DoD)との契約に基づいて、30万以上の防衛産業基盤(DIB)メンバーに対して、制御されていない分類情報(CUI)と連邦契約情報(FCI)を保護するために3つの成熟度レベルのいずれかに準拠することを要求しています。
2023年機密コンテンツ通信プライバシーとコンプライアンスレポートの範囲
この背景を踏まえ、Kiteworksは2022年に年次レポートを発表しました—機密コンテンツ通信プライバシーとコンプライアンスレポートです。昨年のレポートは、多くの有用な業界知見をもたらしました。例えば、組織の半数以上が、機密コンテンツ通信に関連する第三者のセキュリティとコンプライアンスリスクに対して不十分に保護されています。これらの失敗の理由は、暗号化とガバナンスコントロールの欠如、そして不正確で不十分なコンプライアンス報告に関連しています。2022年のレポートでは、組織の3分の2が4つ以上の異なる機密コンテンツ通信ツールを使用していることも判明しました。発見のリストは続く可能性があります。
昨年のレポートでは、7つの業界セクターで400人以上のIT、セキュリティ、リスク、コンプライアンスの専門家を調査しました。2023年には、調査参加者の数を15カ国4大陸にわたる13の業界で781人以上に拡大しました。上記で述べたように、PII、PHI、取引データ、企業の財務情報、知的財産(IP)、合併と買収に関する非公開情報、法的事項の開示は、ほとんどの組織にとって壊滅的な結果をもたらす可能性があります。意図的および偶発的なデータ露出と規制違反を管理するために、組織はデジタル著作権管理(DRM)に目を向けています。これらおよびその他の側面については、以下で詳しく説明します。
今日の通信環境の複雑さを解き明かす
第三者との相互作用の急増は、組織にとって重要なセキュリティ懸念です。レポートによれば、2023年には90%の組織が1,000以上の外部エンティティとコンテンツを共有しており、前年の63%から大幅に増加しています。さらに、44%が2,500以上の第三者とコンテンツを共有しています。この広範な第三者との相互作用のネットワークは、さまざまな規模や業界セクターの組織にまたがり、この問題の普遍性を強調しています。
さらに問題を複雑にしているのは、機密コンテンツを送信するための通信チャネルの使用が増加していることです。50%の組織が6つ以上の機密コンテンツ通信ツールを展開しており、コンテンツ交換を追跡し保護するタスクがますます複雑になっています。この複雑さは、かなりのリソースの割り当てを必要とし、コストの増加とより困難なコンプライアンス環境をもたらしています。
セキュリティ成熟度のギャップ
レポートは、組織の現在のセキュリティ努力と効果的な機密コンテンツ管理に必要なものとの間に顕著なギャップがあることを明らかにしています。回答者のわずか4分の1強が、自分たちのセキュリティ対策と管理慣行が十分であると考えています。組織は、メール、ファイル共有、モバイルアプリ、APIを含むさまざまなチャネルに関連するリスクを認識しています。
機密コンテンツ通信を標的とするインシデントの数は非常に高く、過去1年間に4回以上の攻撃を報告した組織が80%以上に上ります。これらの攻撃の財務的およびコンプライアンスへの影響は深刻であり、60%以上が財務的影響を報告し、44%がブランドへの影響を報告し、42%がコンプライアンスおよび法的費用を経験しています。
コンプライアンス要件への苦闘
コンプライアンスは依然として大きな障害であり、組織はGDPR、PIPEDA、PCI DSS、HIPAAなどの規制基準を満たすために多大なリソースを投入しています。回答者はベストプラクティスを理解していることを示していますが、これらのプラクティスを適用する際に大きなギャップがあります。
すべてのユーザー、部門、コンテンツタイプ、第三者にわたって機密コンテンツの追跡、記録、アクセス制御を成功裏に拡張した組織はごく一部です。その結果、回答者の27%だけがコンプライアンスリスク管理が制御下にあると感じています。残りの73%は、アプローチの完全な見直しまたは大幅な改善が必要であると考えています。
デジタル著作権管理の約束を実現する
課題の中で、レポートはデジタル著作権管理(DRM)の形で希望の光を見出しています。DRMは、これらの問題に対する有望な解決策と見なされており、機密コンテンツの分類、リスクに基づくセグメンテーション、役割や地域に応じたアクセス制御を強調しています。
採用は遅れているものの、ほとんどの組織はDRMの重要性を理解しており、徐々に戦略を整えています。「やり直し」が必要であると考えています。展開における課題、例えば第三者との暗号化されていないファイルに対するエージェント介入の必要性や、異なるユーザーやコンテンツタイプに対するカスタマイズ可能なコントロールなどにもかかわらず、DRMは好ましい方法論として着実に地位を築いています。
レポートはまた、国家標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)などの業界標準に従うことの価値を強調しています。これらの標準に準拠することで、DRMの採用が合理化され、サイバー脅威に対するより強力な保護が確保されます。
機密コンテンツ通信を保護する上での技術パートナーの重要な役割
サイバー脅威に対抗しようとする公共およびセクター組織は、適切な技術パートナーを見つける必要があります。機密コンテンツ通信において、調査回答者は自動エンドツーエンド暗号化、DRM、コンプライアンス追跡と報告などの強力なセキュリティ機能を求めています。また、CapExとOpExを削減するために、異なる通信ツールとシステムを統合できるソリューションを求めています。これにより、複数の通信ツールでキャプチャされたデータプールをコンパイルするための時間とリソースを大幅に節約できます。これらのツールが関連するコンプライアンス規制の遵守を示すために必要なデータをキャプチャしていると仮定して。
組織が通信ツールを1つのプラットフォームに統合すると、業界および政府の規制に準拠した機密コンテンツ通信の追跡と制御のための統一されたポリシーを確立し、統一されたセキュリティアプローチを適用できます。これにより、セキュリティとコンプライアンスのリスクが軽減されます。
レポートにおける機密コンテンツ通信の悲観的および楽観的評価
今年のレポートは、懸念と希望の両方を描いています。一方で、機密コンテンツ通信は依然として課題です。組織は、使用する通信ツールの数の増加と情報を送信および共有する第三者の多様性により、より大きなリスクに直面しています。3分の4以上が、オンプレミスとクラウドの両方で、すべての部門とユーザーにわたって機密コンテンツ通信を追跡および制御していないことは驚くべきことではありません。これらの問題とサイバー攻撃の巧妙化により、攻撃は避けられず、重大な影響が感じられています。財務的制約とサイバーセキュリティスキルの不足に直面して、割り当てられた問題に対してより多くのリソースと予算を投入することは不可能です—それが機能するかどうかは別として。
一方で、レポートは、リーダーと実務者がこれらの問題に対処するための解決策を優先していることを明らかにしています。これらは4つの異なるアクションアイテムに集約されます:
1. コンプライアンスへの包括的アプローチ
米国のさまざまな州を含む異なる管轄区域が新しい規制のモザイクを導入する中で、組織は注意を向ける必要があります。この新たなコンプライアンスの時代において、個々のルールのチェックボックスを埋めることに焦点を当てるべきではありません。代わりに、すべての規制への遵守を保証する普遍的なベストプラクティスを採用する必要があります。NIST CSFのような包括的なフレームワークを採用し、そのすべての側面に完全に準拠することを目指すことを提案します。このようなアプローチは自然にDRMに結びつきます。
2. DRMの復活
組織は、データを慎重に分類し、役割に基づく特定の業務に必要な人々が容易にアクセスできるようにし、他のすべての人々へのアクセスを制限する包括的な方法を採用する必要があります。このアプローチは、適切なデータ管理に不可欠です。
3. インサイダー脅威保護
データ侵害の約5分の1は、従業員や内部システムへのアクセスを持つ他の個人によって引き起こされます。データを慎重に分類しセグメント化し、特定の役割に基づいてアクセスを制限することで、組織は意図的および非意図的な内部からのデータ露出を防ぐことができます。
4. セキュリティ保護
サイバー犯罪者や不正な国家は、機密情報の価値をよく理解しており、この情報を配布するために使用される通信ツールのセキュリティ対策の弱点やギャップを悪用しようとしています。したがって、通信ツールのセキュリティ機能を理解し、精査することが重要です。このレポートで強調された主要な優先事項をこれらのレビューの参考にすることが効果的な出発点となるでしょう。
2023年におけるDRM、NIST CSF、およびその他の焦点
2023年のKiteworksレポートは、現在の複雑なセキュリティ環境における課題と機会の詳細な概要を提供しています。機密コンテンツの共有に関与する第三者の数が増加する中で、組織はデジタルリソースを保護するためにセキュリティ努力を強化する必要があります。
最適なセキュリティを達成するという困難な課題にもかかわらず、DRMやNIST CSFのような技術の出現により楽観的な見方がされています。これらのツールを活用し、適切な技術プロバイダーと連携することで、組織は機密通信の安全性を確保し、コンプライアンスを維持し、最終的にはますます相互接続された世界で繁栄することができます。
レポートの調査結果は、デジタル時代における機密コンテンツ通信のセキュリティの重要性を強調しています。共有されるコンテンツの性質とその広範な配布を考慮すると、組織は絶えず進化するサイバー脅威に対抗するために強力な対策を実施する必要があります。
機密コンテンツ通信のセキュリティは間違いなく障害に満ちています。しかし、適切な技術、戦略的計画、セキュリティフレームワーク、ガバナンスを持つことで、組織はこれらの課題を克服することができます。レポートは最終的に、絶えず進化するデジタル環境の中で機密通信を保護するための具体的なステップを促すためのガイドとして、世界中の企業に役立ちます。
2023年機密コンテンツ通信プライバシーとコンプライアンスレポートの全文を読むには、今日コピーをダウンロードしてください。こちらをクリック。