同調査は、109名の企業のセキュリティ専門家/担当者を対象に行われたものである。調査を担当したESGのシニア・アナリスト、ジョン・オルトシック氏は、「ビジネス・パートナーとIPを共有する大規模企業は急増しているが、情報漏洩防止のプロセスを明確化している企業は少ない」と警鐘を鳴らしている。
オルトシック氏は「安全な情報共有のポイントは、IPの的確な分類、アクセス権の設定、ポリシーの順守である。これらを行ったうえで、だれがどの情報にアクセスしたのかをセキュリティ管理者が把握する必要がある。これらを徹底させなければ、ヒューマン・エラーが起こる確率は非常に高くなる」と指摘している。
調査の結果、92%の企業がビジネス・パートナーと情報を共有していることが明らかになった。内訳を見ると、大量の情報を共有していると回答した企業は28%、適量の情報を共有していると回答した企業は32%、共有している情報はごくわずかだと回答した企業は32%だった。
また42%の企業がIPを複数の部門で分類/管理していると回答した。オルトシック氏は「複数の部門にまたがってIPが存在することは、(IPにアクセスするための)明確なポリシー/プロセスがないことを意味している」と語る。
オルトシック氏は、「ビジネスの要求は、しばしばセキュリティ上の懸念を軽視する傾向がある。それは共有情報の量と種類、そして共有するビジネス・パートナーの数に反映されている」と指摘する。
実際、共有する情報をだれが選定しているかを質問したところ、ビジネス・マネジャーに委ねていると回答した企業は20%、現場の担当者だと回答した企業は27%に上った。一方、明文化されたプロセスはないが、IT管理者、セキュリティ担当者を含めた組織が決定すると回答した企業は27%だった。なお、情報共有のプロセスが確立されていると回答した企業は40%にとどまった。
導入している情報漏洩防止ツールは、60%がファイアウォールの設置とアプリケーション・ログの監視を挙げている。以下、ネットワーク・デバイス・ログの監視(50%)、ネットワーク・トラフィックの監視(45%)だった(複数回答)。また約40%の企業がセキュリティ・イベント情報管理ツールを、17%の企業が専門の情報漏洩防止ツールを導入していると回答した。
しかしオルトシック氏は、「これらのツールを導入しても、セキュリティ担当者が共有情報へのアクセスをすべて把握することは難しい」と語る。同氏によると、約20%の企業が「いつ、だれが、どの情報にアクセスしたのかをすべて特定できる自信はない」と回答したという。
「ビジネス・パートナーとの情報共有は、ビジネスの観点から見て有益であることが実証されている。今後も共有情報は増加し、その流れを止めることはできないだろう。CIOに求められるのは、企業レベルで共有プロセスを策定し、情報漏洩リスクを最小限に抑えることだ」(オルトシック氏)
(デニス・ドゥビー/Network World 米国版)
米国エンタープライズ・ストラテジー・グループ
http://www.enterprisestrategygroup.com/