Kiteworksレポートが機密コンテンツ通信に関連するプライバシーとコンプライアンスリスクをベンチマーク
データを保護し、それがどのように共有され保存されるかを規定する規制や基準に準拠していることを示すことは、これまで以上に困難になっています。サイバー犯罪活動を支援する外国の国家、組織犯罪シンジケート、悪意のある単独行動者はデータの価値を理解しており、そのためデータに対するサイバー攻撃の量と複雑さは増加し続けています。最新のVerizonデータ侵害調査報告書によると、データ侵害は前年比で33%増加しました。
特定の種類のサイバー攻撃は指数関数的に急増しました。例えば、CrowdStrikeの2022年グローバル脅威レポートによると、ランサムウェア関連のデータ漏洩は昨年82%増加しました。悪意のある行為者によって要求される身代金の平均額も増加し、2020年から36%増加しました。昨年、サプライチェーン内のサイバー攻撃の増加も衝撃的で、多くの組織に警鐘を鳴らしました。
製造業や輸送業界がサプライチェーン攻撃の主要なターゲットであり続ける一方で、ほとんどの業界がサプライチェーン攻撃に対して脆弱です。実際、サプライチェーン攻撃は物流だけを標的にしているわけではありません。むしろ、組織が使用するさまざまな技術、アプリケーションで使用されるコード(オープンソースとカスタムの両方)、請負業者やサプライヤー、パートナー、顧客、そして多数の第三者を含んでいます。
機密コンテンツ通信のリスクを調査する
Kiteworksの新たに発表された2022年機密コンテンツ通信プライバシーとコンプライアンスレポートでは、ほぼ3分の2の組織が、1,000以上の外部組織と定期的に機密コンテンツを共有していることを認めており、回答者の3分の1は2,500以上の第三者と機密コンテンツを共有しています。デジタル通信は、共有時(すなわち、データの移動中)と保存時(すなわち、データの静止中)の両方で機密データを危険にさらします。
組織は、機密コンテンツを送信、共有、受信する際に、さまざまなデジタル通信チャネルを活用しています:メール、ファイル共有、ファイル転送、マネージドファイル転送、アプリケーションプログラミングインターフェース(API)プロトコル、ウェブフォーム。サイバー犯罪者はこれらのチャネルをさまざまな方法で悪用します。暗号化されていないメールの送信、ファイル共有、ファイル転送は簡単に傍受され、アクセスされます。さらに、不十分な暗号化技術やポリシーも悪用される可能性があります。
悪意のある行為者は、メッセージや添付ファイルにマルウェアやウイルスを埋め込み、それを開くことで重要なデータを含むシステムへのアクセスを可能にします。これらのウイルスがアカウント乗っ取りを助長すると、メール、ファイル共有、ファイル転送が傍受され、アクセスされる可能性があります。最後に、内部の脅威は、不注意な従業員による意図しないものか、悪意のある内部者による意図的なものかにかかわらず、機密データ侵害のリスクを高めます。
ガバナンスとセキュリティにおけるコンプライアンスの達成と実証
これらのリスクを軽減するために、多くの政府および業界の規制や基準が存在します。個人識別情報(PII)や保護対象保健情報(PHI)に関連するものもあり、例えば医療保険の相互運用性と説明責任に関する法律(HIPAA)、一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA)、個人情報保護及び電子文書法(PIPEDA)、および支払いカード業界データセキュリティ基準(PCI DSS)などがあります。政府部門との機密コンテンツ通信を保護するものには、サイバーセキュリティ成熟度モデル認証(CMMC)、連邦リスク承認管理プログラム(FedRAMP)、連邦情報処理規格(FIPS)140-2、情報セキュリティ登録評価者プログラム(IRAP)などがあります。他には、国家標準技術研究所(NIST)800-171やSOC 2などがあり、データプライバシーを保護するための厳格な基準を提供しています。
さまざまな規制や基準でカバーされる機密コンテンツの種類は異なります。ほぼすべての組織が、従業員、請負業者、パートナー、顧客に関連するPIIを送信、共有、受信、保存しています。金融機関—銀行、投資家、保険会社—は、企業や消費者に信頼できるサービスを提供し、口座明細書、ローン申請書、保険請求書、その他の機密金融文書を送信、共有、転送しています。製造業者にとって、製品設計、顧客リスト、生産スケジュール、さまざまな知的財産(IP)関連情報は機密コンテンツの範疇に入ります。医療機関は、患者記録、X線写真、処方箋などの保護対象保健情報(PHI)を共有しており、これはHIPAAだけでなく、GDPRやPCI DSSなどの他の規制にも関連しています。他の業界セクター、例えば政府、法律などもそれぞれのデータタイプを持っています。最後に、調査によれば、財務、人事、法務部門が機密コンテンツの送信、共有、受信、保存において最も活発な部門であることが示されています。
レポートにおける4つの機密コンテンツ通信の知見
Kiteworksの2022年機密コンテンツ通信プライバシーとコンプライアンスレポートは、北米、ヨーロッパ、アジア太平洋地域の業界セクター全体での主要なトレンドと知見を特定することを目的としています。15か国の400人のIT、セキュリティ、プライバシー、コンプライアンスの専門家を対象に調査を行い、組織が機密コンテンツ通信の成熟度を評価するためのベンチマークを提供しています。レポートはその知見を4つのカテゴリーに分けています。
知見 #1: サイロ化と非効率性
調査回答者は、機密コンテンツを送受信するために異なる通信チャネルを使用していると示しました。例えば、回答者の9割が、機密コンテンツ通信の4分の1にメールを使用しており、3分の1以上が35%以上で使用しています(図1)。ファイル共有は2位で、回答者の45%が通信の4分の1以上で使用しています。他の通信チャネルも定期的に使用されていますが、数と頻度は少ないです。機密コンテンツ通信を追跡、制御、保護するために異なるシステムが使用されており、3分の2のケースで4つ以上が使用されています。それぞれを管理し、別々のコンソールとデータフローを管理する必要があるため、複雑さとリスクが生じます。これにより、機密データのガバナンスと規制当局や監査人へのコンプライアンスの実証が困難になります。
図1. 従業員が機密コンテンツを共有および転送するために使用する通信チャネル。
メール暗号化プロトコルは互いに互換性がなく、別のプロトコルを内部で使用する第三者とのコンテンツ通信を複雑にします。暗号化されたメールが現地で復号できない場合、回答者の60%は送信者にBox、Dropbox、Google Drive、その他のクラウドベースのコンテンツリポジトリを介して未公開の共有ドライブリンクを通じて暗号化されていないファイルを再送するよう依頼し、残りの40%は送信者にパスワードで暗号化されたzipファイルを使用するよう依頼します。このようなやり取りは、非効率性だけでなくリスクにもつながります(図2)。
図2. 復号できない暗号化メールを組織がどのように処理するか。
知見 #2: セキュリティのギャップ
内部の脅威は、組織外の第三者と機密コンテンツを内部で共有することを伴い、機密コンテンツが誤った人物に送信または共有されることがあります。これは意図的(窃盗や破壊工作)である場合もあれば、意図しない(フィッシング、スピアフィッシング)場合もあります。回答者の中で、他のどのセキュリティ領域よりも多くの人が内部の脅威を主要なセキュリティ懸念として挙げており、26%がそれを1位にランク付けしました。外部の脅威も回答者の心に強く残っており、6割近くがそれを1位または2位にランク付けしました。機密コンテンツ通信のガバナンスも回答者によってしばしばセキュリティ懸念として挙げられ、29%の回答者がそれを1位、2位、または3位にランク付けしました(図3)。
図3. 機密コンテンツ通信の管理における主要なセキュリティ懸念。
驚くべきことに、機密コンテンツのアウトバウンド共有におけるデータ損失防止(DLP)の比率は予想よりも低かったです。例えば、回答者の54%は、第三者に送信される一部のメールにしかDLPを使用していないか、まったく使用していません。回答者の6割近くが、ファイル共有やファイル転送、自動化においてDLPを使用していないか、一部のケースでしか使用していません。インバウンド通信において、回答者の7%は、第三者とのすべての受信コンテンツ通信に対してアンチウイルスやアンチスパム技術を使用しておらず、ほぼ半数が一部のケースでしか使用していません。そして、大統領令14028におけるその重要性を含め、ゼロトラストセキュリティが大きな注目を集めているにもかかわらず、ゼロトラストは異なる通信チャネル全体で一貫して適用されていません。
知見 #3: リスク管理
機密コンテンツ通信に使用されるツールが多数あり、インフラがサイロ化されているため、リスク管理は多くの回答者にとって課題とされました。半数以上が、第三者の機密コンテンツ通信リスクに対して組織が十分に保護されていないと示しました。プライバシーとコンプライアンスの専門家は最も高い懸念を示し、7割以上が第三者の機密コンテンツリスクから組織が保護されていないと示しました。
回答者のわずか16%が、第三者リスク管理戦略が非の打ち所がないと述べ、41%が大幅な改善または全く新しいアプローチを望んでいます。回答者は、機密コンテンツ通信の統一、追跡、制御が経営陣の最優先事項であると指摘しました(図4)。
図4. 第三者の機密コンテンツ通信のリスク管理と保護に対する信頼度。
知見 #4: コンプライアンス
回答者は、組織に影響を与える多数のコンプライアンス規制を挙げました。HIPAA、PCI DSS、CCPA、GDPR、データ保護法(DPA)は、毎年遵守しなければならない基準として50%以上が挙げました。回答者の半数以上(56%)が、年間7件以上のコンプライアンスレポートを作成しています。これにより多くの時間がかかり、77%が1件のレポートに20時間以上を費やしています。そして、コンプライアンスに費やした時間にもかかわらず、驚くべきことに79%がコンプライアンスレポートが完全に正確ではないと示しました。
なぜこの数字がこれほど高いのでしょうか?その理由の一つは、回答者の69%が機密コンテンツ通信のガバナンスの改善が必要であると述べたことです。このうち、35%は大幅な改善またはガバナンスの全く新しいアプローチが必要であると考えています。
機密コンテンツ通信の重要なポイントを引き出す
機密コンテンツが意図的または偶然に不正なユーザーによってアクセスされる脅威は現実です。より多くのPII、PHI、IPがオンライン化されるにつれて、サイバー犯罪者はそれを盗む、売る、または身代金を要求する方法を見つけます。歴史的に、組織はコンピューティングエッジで機密性の高い非構造化コンテンツを保護するためのセキュリティメカニズムを採用してきました。このレポートは、対処されないままにしておくと高額になる可能性のある深刻なセキュリティとコンプライアンスのギャップを明らかにしています。IBMとPonemon Instituteは、最新のデータ侵害コストレポートで、データ侵害の平均コストを424万ドルと特定しています。
規制や基準が進化し、新たなものが導入されるにつれて、コンプライアンスはますます重要になります。しかし、適切なガバナンスの追跡と制御が整っていなければ、組織はコンプライアンス違反のリスクにさらされ続けるか、分散化されたサイロ化されたツールセットのためにコンプライアンスを実証するのに苦労するでしょう。現実は、現在の機密コンテンツ通信へのアプローチは、現代のビジネスの要求を満たすためにスケールすることができないということです。
私たちの2022年機密コンテンツ通信プライバシーとコンプライアンスレポートのウェブページを訪問し、すべての利用可能なリソースを1ページに統合しています。