データ中心型セキュリティの状況 Informatica協賛 Ponemon Institute LLC調査レポート 発行日:2014 年 6 月 Ponemon Institute© Research Report データ中心型セキュリティの状況 2014年6月 Ponemon Institute パート1:はじめに Ponemon Instituteは、本文書において、Informatica協賛の「データ中心型セキュリティの状況」 の調査結果を発表いたします。本レポートは、構造化データ/非構造化データのセキュリティ脅 威に対し、企業がどう対処しているかを調査する事を目的としています。調査の結果、ハッカー や悪意のある社員よりも、機密データの所在を確実に把握できないことの方が不安の大きな要因 となっていることが判明しました。 弊社は、16カ国で活躍するグローバルITおよびITセキュリティ担当者1,587人を対象に調査を実施 しました。1本レポートの付録に、参加国のリストがあります。高品質かつ有知識な回答を集める ために、機密の構造化データ/非構造化データの保護に従事するIT担当者のみに対象者を限定しま した。 本調査において、データ中心型セキュリティとは、データが作成された時点でデータセキュリティ ポリシーを適用し、その後はデータがどこで複製、コピー、統合されたとしても、テクノロジー プラットフォームや地域、ホスティングプラットフォームに依存せずにデータを追跡する事を指 し、これには、データのマスキング、暗号化、トークン化、データベース活動の監視といったテ クノロジーが含まれます。この調査の結果、自動化ソリューションが企業のコンプライアンスや データ保護の改善に役立つことが明らかになりました。 主要な調査結果 データが闇の中で、IT担当者の懸案事項となっている。回答者の57%が、機密データの所在 が不明であることが懸案であると答えています。51%は、新しいモバイルプラットフォーム への移行を懸案としています。 機密データは、ITセキュリティ担当者に見えない事が多い。構造化された機密データの所在 を把握していると答えたのは、全体の16%で、非構造化データの所在を知っていると回答し たのは7%に過ぎません。 機密データの分類を頼りにデータ資産を守る。構造化データに適用するテクノロジーの中で、 最も広く使用されているのは、データ分類とアプリケーションレベルでのアクセス制御です。 アクセス制御管理と権利付与を一元管理していると答えたのは19%、ファイルシステムとア クセス監査を使用していると答えたのは14%に留まっています。 機密データの検出を自動化すればデータリスクを回避し、セキュリティ効果を高められる。 自動化ソリューションについて高く評価しているにも関わらず、回答者の60%は、自動化ソ リューションで機密データの所在を検出できていないと答えています。自動化ソリューショ ンを使用していると答えた40%の回答者のうち64%は、データベースやエンタープライズア プリケーション内のどこに機密データがあるかを調べることが目的であると答えています。 ファイルや電子メールのデータ検出に使用していると回答したのは22%に過ぎません。 特化した自動化ソリューションがあれば、コンプライアンスやデータ保護を改善できる。 リアルタイムにモニタリングする自動ユーザーアクセス履歴と、ポリシーワークフローの自 動化機能が、最も広く利用されています。 1 国際的な調査サンプルを、北米、欧州、その他地域の3つに分けて分析。 Ponemon Institute© Research Report 1 ページ パート2:主要な調査結果 本セクションでは、上述の点を個別に分析します。監査済みの分析全体については、本レポート の付録をご覧下さい。本レポートは、次のようなテーマに沿って構成されています。 データが闇の中で、IT担当者の懸案事項となっている セキュリティソリューションは、データの所在やユーザーアクセスの点で可視性を改善でき ないことが多い 適切なソリューションを使うことでIT担当者の不安を解消できる データが闇の中で、IT担当者の懸案事項となっている 機密データの所在が把握できないという問題が、多くの回答者を不安にさせ、大きなセキュリティ リスクとなっている。ITセキュリティ担当者の懸案となる脅威とリスクを挙げたリストを配りま した。その結果、図1に示す通り回答者の57%が、機密データがどこにあるのかわからないこと が懸案であると答えています。また、51%は、新しいモバイルプラットフォームへの移行が懸案 と答えています。それに比べて、ハッカーや規制へのコンプライアンス、悪意のある社員といっ た問題は、かなり低い順位となっています。 図1:懸案事項は何ですか。 3つまで選択可 57% 機密データの所在が分からない 51% 新しいモバイルプラットフォームへの移行 50% 契約社員や派遣社員のミス 42% 第三者や委託企業によるデータ管理 24% クラウドエコシステムへの移行 23% ハッカー 21% 法律や規制へのコンプライアンス 16% 欠陥のあるビジネスプロセス 10% 社員のミス 6% 悪意のある社員 0% Ponemon Institute© Research Report 10% 20% 30% 40% 50% 60% 2 ページ データセキュリティは、深刻な脅威だが、必ずしも最優先事項ではない。 図2は、機密情報の所在がわからないことは深刻な脅威であると同意している回答者の数と、 それが会社にとっての優先事項であると考えている回答者の数に、大きな差がある事を示して います。回答者の79%は、会社にとって重大なセキュリティリスクであると考えています。しか し、データのセキュリティや保護が、優先課題であると考えている回答者は、51%に過ぎません。 この差は、リスク回避のために必要なリソースの確保が困難である可能性を示唆しています。 図2:機密データのセキュリティに関する考え 「非常にそう思う」と「そう思う」の回答数は合算 会社の機密情報がどこにあるか分からないのは セキュリティ面で重大なリスクとなる 79% データセキュリティやデータ保護は 優先事項である 51% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 多くの企業は、機密データの所在を把握していない。 図3は、構造化された機密データの所在を把握していると回答したのは全体の16%で、非構造化 データの所在を知っている回答者は7%に過ぎない事を示しています。 また、構造化データと非構造化データとでは、大きな差が見られます。回答者のうち、構造化デー タの所在を特定できないと答えたのは24%、非構造化データの所在を特定できないと答えたのは 41%です。 図3:機密データの所在を把握していますか? 45% 42% 41% 38% 40% 35% 30% 25% 20% 16% 15% 10% 24% 22% 10% 7% 5% 0% はい、全てのデータを 把握しています はい、ほとんどのデータを 把握しています 構造化データ Ponemon Institute© Research Report はい、一部のデータを 把握しています いいえ 非構造化データ 3 ページ セキュリティソリューションは、データの所在やユーザーアクセスの点で可視性を改善できない ことが多い 機密データの分類に頼って、構造化および非構造化データ資産を保護している。回答者は、構造 化データと非構造化データを合わせて、平均34%の企業データが機密データに分類されると考え ています。最も危険にさらされているのは顧客データであると答えた回答者は53%、知的財産だ と答えた回答者は38%です。 図4は、構造化データ資産の保護に使用されているテクノロジーとツールを示しています。構造化 データに最も広く使用されているのは、分類とアプリケーションレベルでのアクセス制御です。 図4:構造化データ資産を保護するためのテクノロジー 複数回答可 68% 機密データの分類 62% アプリケーションレベルのアクセス制御 データベース活動の監視 47% データベースの暗号化 47% データベースおよびエンタープライズアプリケー ションに含まれるデータのアクセス制御を一元管理 42% 非運用環境における機密フィールドを 持続的にマスキング 25% 20% 機密フィールドのトランスペアレントなトークン化 13% 運用環境における機密フィールドの動的マスキング 0% Ponemon Institute© Research Report 10% 20% 30% 40% 50% 60% 70% 80% 4 ページ 非構造化データの場合(図5)、最も多いのが機密データの分類、次がセキュリティ情報管理シ ステムです。 図5:非構造化データ資産を保護するためのテクノロジー 複数回答可 54% 機密データの分類 40% セキュリティ情報管理 IDとアクセスの管理 31% デジタル権利管理 29% データ損失の防止 29% 19% アクセス制御と権利付与の一元管理 14% ファイルシステムとアクセス監査 0% 10% 20% 30% 40% 50% 60% IT部門がデータ資産へのアクセス権を付与するケースが最も多い。 図6を見ると、IT部門が社員にアクセス権を付与すると答えた回答者が49%、事業部長が付与す ると答えた回答者は、25%です。 図6:データ資産へのアクセス権をユーザーに付与するには、誰が主な説明責任を負 っていますか? 2つまで選択可 IT部門 49% 25% 事業部長 12% 法務、リスク、コンプライアンス部門 10% 情報セキュリティ部門 5% データ所有者 0% Ponemon Institute© Research Report 10% 20% 30% 40% 50% 60% 5 ページ 機密情報へのアクセス制御は、リスクを回避する上で重要である。 図7を見ると、回答者の42%が、機密データへのアクセスは、役割や場所などの要因に応じて制 御していると答えています。しかし、調査結果から、こうしたアクセス制御は、あまり成功して いないことがわかっています。社員や派遣社員、契約社員には、適切なアクセスレベルが与えら れているので、個人にアクセス権を与え過ぎるリスクはほとんどないと考える回答者は、わずか 23%に過ぎません。 図7:機密データのセキュリティに関する考え 「非常にそう思う」と「そう思う」の回答数を合算 機密データへのアクセスは、役割や場所 その他の要因によって制御している 42% 社員や派遣社員、契約社員にデータアクセス権を 与え過ぎているリスクはほとんどない 23% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% データ資産のセキュリティ手順は、十分に実施されていない、もしくはまったく実現されていない。 図8は、まだ実現できていないセキュリティ手順をリスト化したものです。ほとんどの企業が、 包括的なデジタルフォレンジックや、クラウドを含む第三者間とのデータ転送の監視、データ アクセスポリシーの徹底を実現できていません。 図8:データベース内のデータ資産保護のためのセキュリティ手順 「十分に実施されていない」と「実現されていない」の回答数を合算 65% 包括的なデジタルフォレンジック機能 61% クラウドを含む第三者へのデータ転送の監視 データアクセスポリシーを、全てのアプリケー ション、場所、部門、テクノロジー標準に徹底 59% データのマスキングや匿名化、編集、非表示を 使って機密データを保護 56% ポリシーやユーザー要件、アプリケーションの 変更に伴うアクセス変更管理 53% 社員の退職やポリシーの変更時に アクセス権を無効化 51% 0% Ponemon Institute© Research Report 10% 20% 30% 40% 50% 60% 70% 6 ページ 電子メールの機密データを保護する多くのセキュリティ手順が存在しない。 図9を見ると、企業の大半は、包括的なデジタルフォレンジックを使用せず、機密データのマスキ ングや匿名化、編集、非表示によるデータ保護がなく、全てのアプリケーションや場所、部門、 テクノロジー標準でデータアクセスポリシーを徹底していません。 図9:電子メールのデータ資産保護のためのセキュリティ手順 「十分に実施されていない」と「実現されていない」の回答数を合算 69% 包括的なデジタルフォレンジック機能 データのマスキングや匿名化、編集、非表示を 使って機密データを保護 データの漏洩や窃盗を検出、阻止 データアクセスポリシーを、全てのアプリケー ション、場所、部門、テクノロジー標準に徹底 68% 63% 62% 権限のあるユーザーによる構造化データと 非構造化データへのデータアクセスの監視 60% 社員の退職やポリシーの変更時に アクセス権を無効化 59% 0% 10% 20% 30% 40% 50% 60% 70% 80% Ponemon Institute© Research Report 7 ページ ファイルレベルでは、クラウドを含む第三者間のデータ転送を監視していないことが多い。 図10は、ファイル内のデータ資産保護のためのセキュリティ手順について、回答者が「十分に実 施されていない」または「実現されていない」と答えたものを示しています。データ転送の監視 だけでなく、包括的なデジタルフォレンジック機能や、全てのアプリケーションや場所でのデー タアクセスポリシー徹底も実現されていません。 図10:ファイル内のデータ資産保護のためのセキュリティ手順 「十分に実施されていない」と「実現されていない」の回答数を合算 72% クラウドを含む第三者間のデータ転送の監視 包括的なデジタルフォレンジック機能 68% データアクセスポリシーを、全てのアプリケー ション、場所、部門、テクノロジー標準に徹底 67% データのマスキングや匿名化、編集、非表示を 使って機密データを保護 64% 社員の退職やポリシーの変更時に アクセス権を無効化 64% 権限のあるユーザーによる構造化データと 非構造化データへのデータアクセスの監視 63% ポリシーやユーザー要件、アプリケーション の変更に伴うアクセス変更管理 63% 職務や役割ベース、またはオンデマンドで アクセス権を監視 63% データ損失の回避策の導入 62% 0% Ponemon Institute© Research Report 10% 20% 30% 40% 50% 60% 70% 80% 8 ページ 適切なソリューションを使って不安を解消する 回答者は、機密データを自動検出することが可能なソリューションを使って、データリスクを回 避し、セキュリティ効果を高められると考えています。自動化ソリューションを高く評価する一 方で、回答者の60%は、自動化ソリューションで機密データの所在を検出できていないと答えて います。 図11は、自動化ソリューションを使用していると答えた40%の回答者のうち、64%は、データベ ースやエンタープライズアプリケーション内のどこに機密データがあるかを調べることを使用目 的としている事を示しています。ファイルや電子メールの機密データを自動化ソリューションで 検出していると答えた回答者は、わずか22%に過ぎません。 図11:自動化ソリューションを使って、データベースやエンタープライズアプリケーション、 ファイル、電子メール内の 機密データを検出していますか? 90% 78% 80% 70% 64% 60% 50% 36% 40% 30% 22% 20% 10% 0% はい データベースとエンタープライズアプリケーション Ponemon Institute© Research Report いいえ ファイルと電子メール 9 ページ データ違反を回避する。本調査に参加した企業の72%が、過去12ヵ月間にデータ違反を経験して います。回答者は、効果的なデータセキュリティテクノロジーとスキルのある人材を適用してい れば、こうしたデータ違反を回避できたと考えています。 図12は、データ違反の回避あるいはその規模や頻度を軽減するための措置を示しています。回答 者の58%は、もっと効果的なデータセキュリティテクノロジーを使用していれば、リスクを減ら せると答え、57%は、データセキュリティに責任を持つとともにスキルを備えた人材がいれば、 データ違反の可能性が低くなると考えています。 回答者の54%は、プロセスや制御を自動化すれば違反を回避できると考えています。データ違反 のリスク対策に、予算はさほど重要な要因ではないようです。回答者の46%が、セキュリティの ための予算または支出が多ければ、違反を回避できたと考えています。 図12:どうすればデータ違反を回避できたと思いますか? 「非常に可能性が高い」と「可能性が高い」の回答数を合算 より効果的なデータセキュリティ テクノロジーの適用 58% データセキュリティに責任を持つとともに スキルを備えた人材の存在 57% 54% プロセスや制御の自動化 46% セキュリティのための予算または支出が多い 0% Ponemon Institute© Research Report 10% 20% 30% 40% 50% 60% 70% 10 ページ 特化した自動化ソリューションがあれば、コンプライアンスやデータ保護を改善できる。 図13に示す8つのデータ中心型セキュリティ機能について、回答者の大半がコンプライアンスや データ保護に効果的だと考えています。回答者の間で最も広く使用されている機能は、リアルタイ ムモニタリングが可能な自動ユーザーアクセス履歴、ポリシーの自動ワークフローです(各76%、 74%)。これに対し、若干少ない69%が、データの自動検出が役立つと考えています。 図13:次の8つのデータ中心型セキュリティ機能は、コンプライアンスとデータ保護の状況を改 善できると思いますか? 「大いに改善される」と「改善される」の回答数を合算 リアルタイムモニタリングが可能な 自動ユーザーアクセス履歴 76% 74% ポリシーの自動ワークフロー 69% データの自動検出 テクノロジー診断 62% 地域、データセンター、事業部門にわたる 集約ビュー 62% データセキュリティの統合分析と保護 53% 自動分類 52% 51% データフローチャート 0% Ponemon Institute© Research Report 10% 20% 30% 40% 50% 60% 70% 80% 90% 11 ページ パート3:地域による違い ここでは、調査対象国で異なる興味深い点について分析します。 データセキュリティの問題が、全世界の回答者の懸案事項となっている。 図14は、回答者の大半が、機密データの所在を把握していないため、データ資産への脅威に不安 を感じている事を示しています。北米、欧州以外の地域の回答者が、より強い懸念を抱いていま す。それに比べ、欧州の回答者は、法律や規制へのコンプライアンスの方を重要視しています。 図14:懸案事項は何ですか? 3つまで選択可 46% 新しいモバイルプラットフォームへの移行 43% 第三者や委託企業によるデータ管理 34% クラウドエコシステムへの移行 26% 21% 24% ハッカー 26% 18% 23% 19% 法律や規制へのコンプライアンス 52% 56% 49% 33% 11% 15% 15% 18% 欠陥のあるビジネスプロセス 6% 8% 5% 悪意のある社員 5% 9% 社員のミス 0% Ponemon Institute© Research Report 64% 50% 51% 48% 派遣社員や派遣社員のミス 北米 57% 50% 機密データの所在が分からない 欧州 10% 17% 20% 30% 40% 50% 60% 70% その他の地域 12 ページ 多くの企業は、機密データの所在を把握していない。図15は、構造化された機密データの所在 を把握していると答えた回答者は、全世界で4分の1しかいない事を示しています。具体的には、 北米の回答者の24%、欧州の回答者の23%、その他の地域の回答者の26%が機密データの所在を 把握していません。非構造化データの場合、さらに多くの回答者がその所在を把握できていませ ん。 図15:機密データの所在を把握していますか? 「いいえ」と回答した数 50% 43% 45% 42% 38% 40% 35% 30% 25% 24% 26% 23% 20% 15% 10% 5% 0% 構造化データ 非構造化データ 北米 欧州 その他の地域 非構造化データの違反は、世界中のどの地域でも検出が難しい。 図16は、構造化データの違反の方が、損失や窃盗につながる非構造化データ違反より、検出しや すいと考えられています。 図16:データ違反を検出できますか? 「いいえ」と回答した数 40% 34% 35% 32% 34% 30% 25% 20% 15% 10% 14% 12% 8% 5% 0% 構造化データ 非構造化データ 北米 Ponemon Institute© Research Report 欧州 その他の地域 13 ページ 北米の回答者は、顧客データが最もリスクが高いと考えています。 図17は、北米、欧州以外の地域の回答者も、顧客データにリスクがあると答えています。欧州の 回答者の中で、知的資産に不安を感じている人は、23%に過ぎません。興味深いことに、その他 の地域の回答者の56%が、ビジネスインテリジェンスに最もリスクがあると考えています。 図17:会社で最もリスクがあると思われるデータ 2つまで選択可 42% 顧客 34% 23% 社員 14% 56% 39% 10% 6% 8% 患者記録 9% 消費者 9% 19% 8% 7% 7% 国家治安/機密 納税者/市民 3% 7% 10% 5% 7% 10% 会計 4% 7% 学歴書類 3% 2% 4% 2% 給与データ その他 39% 29% ビジネスインテリジェンス 49% 39% 23% 知的財産 64% 0% 2% 1% 0% 10% 北米 Ponemon Institute© Research Report 20% 欧州 30% 40% 50% 60% 70% その他の地域 14 ページ 北米以外の地域では、IT部門がデータ資産へのアクセス権に、説明責任を負っている。北米企業は、 IT部門と業務部門で責任分担していますが、図18を見ると、部門の影響力の方が低いようです。 欧州の回答者は、コンプライアンスを懸念しており、法務やリスク、コンプライアンス部門に主 な責任があると答えています。 図18:データ資産へのアクセス権をユーザーに付与するには、誰が主な説明責任を負っていま すか? 2つまで選択可 37% IT部門 49% 65% 35% 18% 17% 業務部門 8% 8% 情報セキュリティ部門 12% 10% 法務、リスク、コンプライアンス部門 6% 5% 6% 4% データ所有者 その他 1% 0% 0% 0% 北米 Ponemon Institute© Research Report 19% 10% 欧州 20% 30% 40% 50% 60% 70% その他の地域 15 ページ 機密情報へのユーザーアクセスの可視性に対する信頼度は、地域間で異なる。図19は、構造化 データへのユーザーアクセスを把握していると確信しているのは、欧州企業が最も強く、その他 の地域が最も弱いことを示しています。非構造化データへのユーザーアクセスについては、 どの地域の回答者も可視性に自信がないようです。 図19:機密データへのユーザーアクセスに対する可視性について、どの程度自信がありますか? 「大いに自信がある」と「自信がある」の回答数を合算 90% 80% 82% 72% 69% 70% 54% 60% 59% 53% 50% 40% 30% 20% 10% 0% 構造化データ 非構造化データ 北米 欧州 その他の地域 本調査の対象国は、自動化ソリューションが、機密データが多く存在している場所を特定する上 で効果的だと考えている。 実際、自動化ソリューションの使用率は低いものの(北米で41%、欧州で39%、その他の地域で 38%)、回答者の大半は、社内のどこに機密データが蔓延しているかを把握するのに役立つと考 えています。図20は、地域間の差を表しています。 図20:自動化ソリューションを使用していますか? 「はい」の回答 73% 自動化ソリューションを使って機密データが 蔓延している場所を検出すれば データセキュリティの効果が上がる 69% 74% 41% 自動化ソリューションを使って機密データの 所在を調べる 39% 38% 0% 北米 Ponemon Institute© Research Report 欧州 10% 20% 30% 40% 50% 60% 70% 80% その他の地域 16 ページ 本調査の対象国は、最も効果的なデータ中心型セキュリティ機能に関する意見が似ている。 図21が示す通り、、リアルタイムモニタリングが可能な自動ユーザーアクセス履歴、ポリシーの 自動ワークフロー、データの自動検出がトップ3となっています。 図21:次の8つのデータ中心型セキュリティ機能は、コンプライアンスとデータ保護の状況を改 善できると思いますか? 「大いに改善される」と「改善される」の回答数を合算 78% 72% 79% リアルタイムモニタリングが可能な 自動ユーザーアクセス履歴 71% ポリシーの自動ワークフロー 82% 70% 69% 67% 72% データの自動検出 地域、データセンター、事業部門を通した 集約ビュー 65% 61% 58% テクノロジー診断 62% 66% 59% 45% 50% データセキュリティの統合分析と保護 57% 51% 47% 自動分類 46% データフローチャート 49% 0% 北米 Ponemon Institute© Research Report 61% 59% 10% 20% 30% 40% 50% 60% 70% 80% 90% 欧州 その他の地域 17 ページ パート ト4:方法と制 制約 表1は は、北米、欧州 州、その他の地 地域別の回答内訳です。こ この国際的調査 査は、16カ国、45,829人の の IT担当 当者やITセキュ ュリティ担当者 者が参加した た結果です。そ その内、1,743 3名が回答し、156件は、 信頼性 性の問題とスク クリーニングの の結果で除外さ されました。最 最終的に、1,58 87件がサンプル ルとして残り、 、 回収率 率は3.5%とな なりました。 件数 表1:調査回答 調査対象 回答数合計 棄却/スクリーニン ングされた回答 答数 最終回答数 45,829 1,743 156 1,587 % 100% % 3.8% % 0.3% % 3.5% % 円グラ ラフ1は、参加 加した回答者の の役職を示しています。61 1%が課長以上 上の役職になる るように選定 定 しまし した。 円グラ ラフ1:現在の の役職レベル 内訳 2% % 4% 17% 経営層/副社長 長 事業部長 37% 部長 課長 スタッフ/技術 術者 23% 契約社員 18% 円グラ ラフ2は、回答 答者の直属の上 上司を示してい います。64%が がCIOまたは本 本社IT部長に属 属しています。 。 円グラ ラフ2:直属の の上司 内訳 % 2%2%3% 15% % CIOまたは本社IT部長 事業部長また たは部長 CISO/CSOまたはITセキュリ リティ部長 COOまたは業 業務部長 16% 64% コンプライア アンス部長または は内部監査部長 長 その他 Ponem mon Institute© Research Rep port 18 ページ ジ 円グラ ラフ3を見ると と、回答者の4 43%が、組織における自分 分の職務または は役割を経営に に関わる業務 務 と理解 解しています。 。サポート/サ サービスセンタ ターと答えた回答者は34% %です。 円グラ ラフ3:職務ま または役割の範 範囲 内訳 6% 17% 経営管理 サポート/サー ービスセンター 43% 事業部 その他 34% 3 円グラ ラフ4は、回答 答企業の業種を を示しています。金融、保 保険、証券が最 最も多く(16% %)、続いて て サービ ビス業(10%) )、官公庁・自治体(10% %)となってい います。 円グラ ラフ4:主な業 業種 内訳 4% 2% 3% 4% 16% 金融、保険、証券 4% サービス 官公庁・自治 治体 5 5% 10% 6% % 製造 医療/製薬 小売 10% 9 9% テクノロジー ー/ソフトウェア ア エネルギー/電 電力 9% 9% 9% 消費財 運輸、輸送 娯楽/メディア ア 通信 ホテル/飲食 その他 Ponem mon Institute© Research Rep port 19 ページ ジ 円グラ ラフ5を見ると と、回答企業の の50%で、正社 社員数が5,00 00人を超えています。 円グラ ラフ5:グロー ーバル企業の正 正社員数 内訳 5% 8% 23% 1,000人未満 1,000~5,000 0人 14% 5,001~10,00 00人 10,001~25,0 000人 25,001~75,0 000人 75,001人以上 上 23% % 27% パート ト5:本調査に に関する注意事 事項 の調査結果から結論を導き出す前に、調 調査に制約があ あることを考慮する必要が があります。 以上の Webの のアンケート調 調査には、以 以下のような制 制約があります す。 非回答者のバイ 非 イアス:本調査 査の結果は、回収されたサ サンプル回答に にのみ基づいています。本 本 ア アンケートは、 組織の代表的な役職レベ ベル宛に送付し し、分析するに に十分な多数 数の回答を回収 収 す する事が出来ま ました。本アンケートに非 非回答であった た個人の基本的 的な考え方は回答した個人 人 と と大きく異なる る可能性は否定 定できません ん。 調査対象のバイ 調 イアス:調査結 結果の精度は は、回答者の雇 雇用形態と役職 職レベルが、どの程度IT担 担 当 当者/ITセキュ リティ担当者 者として合って ているかに左右 右されます。また、調査結 結果は、報道な な ど どの外部要因の の影響を受け得 得ることも認 認識しています す。また、We ebを使って回 回収したため、 郵 郵送や電話とい いった別の手段 段による回答 答とは、調査結 結果の傾向が異 異なる可能性 性があります。 自己申告による 自 る回答:アンケート調査の の品質は、回答 答者がどの程度 度回答の機密性を一貫して て 維 維持できたかに に左右されます す。調査プロ ロセスに、ある る程度のチェッ ックや均衡化 化を適用するこ こ と とは可能ですが が、回答者が正 正確に回答し しなかった可能 能性は残ります す。 Ponem mon Institute© Research Rep port 20 ページ ジ 付録:調査結果の詳細 以下の表は、アンケートに含まれる全質問への回答内訳を、件数またはパーセンテージで示して います。回答は、全て2014年4月に回収されたものです。 アンケートの回答 調査対象 回答数合計 棄却/スクリーニングされた回答数 最終回答数 回答率 パート1:適切な対象者を絞り込むための質問 S1:あなたは、機密情報の保護に関与していますか? はい いいえ(以降の調査から除外) 合計 S2:あなたの職務は次のどれに該当しますか? 社内データの保護を保証する責任を負っている 社内データの保護活動だけに専念している 社内データの保護活動に部分的に専念している 社内データの保護活動に関わっている 社内データの保護活動に全く関わっていない(以降の調査から除外) 合計 S3a:あなたの職務の内、構造化データ(データベース内のデータ等)の保護に関係し ているのは何パーセントですか? 0(以降の調査から除外) 5%未満 5~10% 11~25% 26~50% 51~75% 76~100% 合計 内訳 45,829 1,743 156 1,587 3.5% 内訳 100% 0% 100% 内訳 18% 24% 32% 26% 0% 100% 内訳 S3b:あなたの職務の内、非構造化データ(電子メールやファイルに含まれるデータ等) の保護に関係しているのは何パーセントですか? 内訳 0(以降の調査から除外) 5%未満 5~10% 11~25% 26~50% 51~75% 76~100% 合計 Ponemon Institute© Research Report 0% 6% 23% 33% 19% 14% 4% 100% 0% 9% 36% 31% 12% 6% 6% 100% 21 ページ パート2:懸案事項 Q1:貴社のデータセキュリティについて、懸案事項は何ですか?上位3つを選択して 下さい。 機密データの所在が分からない ハッカー 悪意のある社員 欠陥のあるビジネスプロセス 社員のミス 契約社員や派遣社員のミス 第三者や委託企業のデータ管理(クラウドを含む) 法律や規制へのコンプライアンス クラウドエコシステムへの移行 新しいモバイルプラットフォームへの移行 合計 Q2a:あなたは、会社の構造化された機密データ(データベースに含まれるデータ等) の所在を把握していますか?運用、テスト、サポートおよびデータウェアハウスを含み ます。 はい、全てのデータを把握しています はい、ほとんどのデータを把握しています はい、一部のデータを把握しています いいえ 合計 Q2b:いいえと答えた場合、構造化された機密データのうち、所在を把握できていな いものは何%ですか?可能な範囲で推定して下さい。 0 5%未満 5~10% 11~25% 26~50% 51~75% 76~100% 合計 Q3a:あなたは、会社の非構造化された機密データ(電子メールやファイルに含まれ るデータ等)の所在を把握していますか? はい、全てのデータを把握しています はい、ほとんどのデータを把握しています はい、一部のデータを把握しています いいえ 合計 Q3b:いいえと答えた場合は、非構造化された機密データのうち、所在を把握できて いないものは何%ですか?可能な範囲で推定して下さい。 0 5%未満 5~10% 11~25% 26~50% 51~75% 76~100% 合計 Ponemon Institute© Research Report 内訳 57% 23% 6% 16% 10% 50% 42% 21% 24% 51% 300% 内訳 16% 22% 38% 24% 100% 内訳 0% 6% 24% 28% 29% 10% 3% 100% 内訳 7% 10% 42% 41% 100% 内訳 0% 3% 8% 16% 25% 27% 21% 100% 22 ページ Q4a:社内で構造化データに関するデータ違反が生じた場合、それを検出することが できますか? はい、必ず検出できます はい、ほとんどの場合検出できます はい、一部のものは検出できます いいえ 合計 Q4b:社内で非構造化データに関するデータ違反が生じた場合、それを検出すること ができますか? はい、必ず検出できます はい、ほとんどの場合検出できます はい、一部のものは検出できます いいえ 合計 帰属について:機密データに関する文を読み、ご自分の意見を%で評価して下さい。 「非常にそう思う」と「そう思う」の回答数を合算 Q5a:会社の機密情報がどこにあるか分からないというのは、セキュリティ面で重大 なリスクとなる Q5b:私の会社では、データセキュリティやデータ保護は優先事項の一つである Q5c:私の会社では、社員や臨時社員、契約社員にデータへのアクセス権を与え過ぎて いるリスクはほとんどない Q5d:私の会社では、機密データへのアクセスは、役割や場所、その他の要因によっ て制御されている Q6:データの損失や窃盗について考えた場合、社内で最もリスクがあるのはどの種類 のデータですか?上位2つを選択して下さい。 顧客 知的財産 ビジネスインテリジェンス 社員 患者記録 消費者 国家治安/機密 納税者/市民 会計 学歴書類 給与データ(クレジットカード番号) その他(詳しい内容を記入) 合計 Q7:会社のデータの何%が機密であると考えますか?(構造化データと非構造化デー タ等、全てのソースを含めて下さい) 5%未満 5~10% 11~25% 26~50% 51~75% 76~100% 合計 Ponemon Institute© Research Report 内訳 26% 34% 29% 11% 100% 0% 内訳 12% 22% 33% 33% 100% 内訳 79% 51% 23% 42% 内訳 53% 34% 38% 25% 8% 12% 7% 6% 7% 4% 3% 1% 200% 内訳 3% 21% 36% 13% 10% 17% 100% 23 ページ Q8:データ資産へのアクセス権をユーザーに付与するには、誰が主な説明責任を負っ ていますか?該当する項目を2つだけ選択して下さい。 IT部門 情報セキュリティ部門 法務、リスク、コンプライアンス部門 事業部長 データ所有者 その他(詳しい内容を記入) 合計 Q9a:構造化された機密データ資産を安全に使用するために導入しているテクノロジー やツールを挙げて下さい。 データベース活動の監視(DAM) 機密データの分類 データベースの暗号化 機密フィールドのトランスペアレントなトークン化 非運用環境における機密フィールドの持続的マスキング 運用環境における機密フィールドの動的マスキング アプリケーションレベルのアクセス制御 データベースおよびエンタープライズアプリケーションに含まれるデータのアクセス 制御を一元管理 Q9b:非構造化された機密データ資産を安全に使用するために導入しているテクノロ ジーやツールを挙げて下さい。(該当項目すべてを選択) データ損失の防止(DLP) 機密データの分類 IDとアクセス管理 デジタル権利管理 アクセス制御管理と権利付与の一元管理 ファイルシステムとアクセス監査 セキュリティ情報管理(SIM) Q10a:構造化された機密データへのユーザーアクセスの可視性について、どの程度自 信がありますか? 大いに自信がある 自信がある 自信がない 合計 Q10b:非構造化された機密データへのユーザーアクセスの可視性について、どの程度 自信がありますか? 大いに自信がある 自信がある 自信がない 合計 Ponemon Institute© Research Report 内訳 49% 10% 12% 25% 5% 0% 100% 内訳 47% 68% 47% 20% 25% 13% 62% 42% 内訳 29% 54% 31% 29% 19% 14% 40% 内訳 34% 40% 26% 100% 内訳 21% 34% 45% 100% 24 ページ Q11:貴社では、データ資産へのアクセスを許可する上で、次に挙げる手順をどの程 度実現していますか?「十分に実現している」から「実現していない」まで、5段階で 評価して下さい。 データセキュリティの手順(データベース) 機密データの所在の把握、追跡 マップ、リネージ、フロー、インベントリなどのデータアーキテクチャーの構築 データ分類、優先順位付け 職務、役割、または必要に応じてオンデマンドによるアクセス権を監視 ポリシーやユーザー要件、アプリケーションの変更に伴うアクセス変更管理 社員の退職やポリシーの変更があった際にアクセス権を無効化 データアクセスポリシーを、全てのアプリケーション、場所、部門、テクノロジー標 準に徹底 権限のあるユーザーによる構造化/非構造化データへのデータアクセスの監視 職務分掌の監視 ポリシーおよび規制へのコンプライアンスの証明 妥当な使用ポリシーの作成 クラウドを含む第三者へのデータ転送の監視 データアクセスや制御ポリシーについてエンドユーザーを教育 データの漏洩や窃盗(データ違反)を検出、阻止 データ損失の予防策の導入 暗号化やトークン化による機密データの保護 マスキングやデータの匿名化、編集、非表示による機密データの保護 包括的なデジタルフォレンジック機能 データセキュリティの手順(電子メール) 機密データの所在の把握、追跡 マップ、リネージ、フロー、インベントリなどのデータアーキテクチャーの構築 データ分類、優先順位付け 職務、役割、または必要に応じてオンデマンドによるアクセス権を監視 ポリシーやユーザー要件、アプリケーションの変更に伴うアクセス変更管理 社員の退職やポリシーの変更があった際にアクセス権を無効化 データアクセスポリシーを、全てのアプリケーション、場所、部門、テクノロジー標 準に徹底 権限のあるユーザーによる構造化/非構造化データへのアクセス監視 職務分掌の監視 ポリシーおよび規制へのコンプライアンスの証明 妥当な使用ポリシーの作成 クラウドを含む第三者へのデータ転送の監視 データアクセスや制御ポリシーについてエンドユーザーを教育 データの漏洩や窃盗(データ違反)を検出、阻止 データ損失の予防策の導入 暗号化やトークン化による機密データの保護 マスキングやデータの匿名化、編集、非表示による機密データの保護 包括的なデジタルフォレンジック機能 Ponemon Institute© Research Report 内訳 45% 50% 40% 48% 53% 51% 59% 49% 27% 35% 30% 61% 47% 45% 45% 42% 56% 65% 内訳 56% 56% 44% 59% 57% 59% 62% 60% 40% 44% 33% 38% 55% 63% 45% 49% 68% 69% 25 ページ データセキュリティの手順(ファイル) 機密データの所在の把握、追跡 マップ、リネージ、フロー、インベントリなどのデータアーキテクチャーの構築 データ分類、優先順位付け 職務、役割、または必要に応じてオンデマンドによるアクセス権を監視 内訳 51% 58% 49% 63% ポリシーやユーザー要件、アプリケーションの変更に伴うアクセス変更管理 社員の退職やポリシーの変更があった際にアクセス権を無効化 データアクセスポリシーを、全てのアプリケーション、場所、部門、テクノロジー標 準に徹底 権限のあるユーザーによる構造化/非構造化データへのアクセス監視 職務分掌の監視 ポリシーおよび規制へのコンプライアンスの証明 妥当な使用ポリシーの作成 クラウドを含む第三者へのデータ転送の監視 データアクセスや制御ポリシーについてエンドユーザーを教育 データの漏洩や窃盗(データ違反)を検出、阻止 データ損失の予防策の導入 暗号化やトークン化による機密データの保護 マスキングやデータの匿名化、編集、非表示による機密データの保護 包括的なデジタルフォレンジック機能 Q12a:貴社では、現在、機密データの所在を調べる自動化ソリューションを使用して いますか? はい いいえ 合計 Q12b:はいと答えた場合、データベースやエンタープライズアプリケーションのどこ に機密データがあるかを調べる自動化ソリューションを使用していますか? はい いいえ 合計 Q12c:はいと答えた場合、ファイルや電子メールのどこに機密データがあるかを調べ る自動化ソリューションを使用していますか? はい いいえ 合計 Q12d:いいえと答えた場合、機密データの所在を検出する自動化ソリューションを使 用すれば、データセキュリティの効果が上がると思いますか? はい いいえ 合計 63% 64% 67% 63% 42% 43% 40% 72% 58% 56% 62% 48% 64% 68% 内訳 40% 60% 100% 内訳 64% 36% 100% 内訳 22% 78% 100% 内訳 Q12e:機密データが蔓延している所在を検出する自動化ソリューションを使用すれば、 データセキュリティの効果が上がると思いますか? 内訳 はい いいえ 合計 Ponemon Institute© Research Report 78% 22% 100% 72% 28% 100% 26 ページ Q13a:貴社は、過去12ヵ月間にデータ違反がありましたか? はい、1件だけありました はい、2~5件ありました はい、6件以上ありました いいえ(Q14に進む) 合計 内訳 Q13b:「非常に可能性が高い」と「可能性が高い」の回答数を合算。 Q13b-1:はいと答えた場合、もっと効果的なデータセキュリティテクノロジーを使用 していればデータ違反を防げたと思いますか? Q13b-2:はいと答えた場合、予算や支出が多ければデータ違反を防げたと思 いますか? Q13b-3:はいと答えた場合、データセキュリティに責任を持つとともに、スキル のある人材 がいれば、データ違反を防げたと思いますか? Q13b-4:はいと答えた場合、プロセスや制御を自動化していたならデータ違反を防 げたと思 いますか? 内訳 Q14:次のような機能があれば、コンプライアンスやデータ保護が改善されると思い ますか?改善の程度について、機能別に評価して下さい。「大いに改善される」と 「改善される」の回答数を合算 Q14a:自動データ検出 Q14b:自動分類 Q14c:リアルタイムモニタリングが可能な自動ユーザーアクセス履歴 Q14d:地域、データセンター、事業部門にわたる集約ビュー Q14e:データフローチャート Q14f:テクノロジ診断(脆弱性評価ツール) Q14g:データセキュリティの自動分析と保護 Q14h:ポリシーの自動ワークフロー パート3:対象者の特性 D1:社内におけるあなたの役職レベルに当てはまるのはどれですか? 経営層/副社長 事業部長 部長 課長 スタッフ/技術者 契約社員 その他(詳しい内容を記入) 合計 D2:あなたの直属の上司は次のどれに当てはまりますか? CEO/取締役会 COOまたは統括部長 CFO、財務/管理会計部長 CIO または本社IT部長 事業部長または部長 コンプライアンス部長または内部監査部長 CISO/CSO またはITセキュリティ部長 CPOまたは本社プライバシー部長 その他(詳しい内容を記入) 合計 Ponemon Institute© Research Report 27% 18% 4% 51% 100% 58% 46% 57% 54% 内訳 69% 52% 76% 62% 51% 62% 53% 74% 内訳 4% 17% 23% 18% 37% 2% 0% 100% 内訳 1% 2% 1% 64% 16% 2% 15% 1% 0% 100% 27 ページ D3:あなたの職務または役割の及ぶ地理的な範囲は次のどれに当てはまりますか? グローバル 大陸レベル 国レベル 合計 内訳 D4:あなたの職務または役割の組織における範囲は次のどれに当てはまりますか? 本社 事業部 サポート/サービスセンター その他(詳しい内容を記入) 合計 内訳 D5:貴社の主な事業は次のどの業種に当てはまりますか? 農業/食品サービス 通信 消費財 航空/防衛 教育/研究 エネルギー/電力 娯楽/メディア 金融、保険、証券 医療/製薬 ホテル/飲食 製造 官公庁・自治体 小売 サービス テクノロジー/ソフトウェア 運輸、輸送 その他(詳しい内容を記入) 合計 内訳 D6:海外の拠点も含めた正社員数は次のどの範囲に当てはまりますか? 1,000人未満 1,000~5,000人 5,001~10,000人 10,001~25,000人 25,001~75,000人 75,001人以上 合計 内訳 Ponemon Institute© Research Report 48% 38% 14% 100% 43% 17% 34% 6% 100% 1% 4% 5% 0% 1% 6% 4% 16% 9% 2% 9% 10% 9% 10% 9% 4% 1% 100% 23% 27% 23% 14% 8% 5% 100% 28 ページ 国 D7:あなたの勤務地はどこですか(国)? アルゼンチン オーストラリア ブラジル カナダ フランス ドイツ 香港 イタリア 日本 メキシコ オランダ シンガポール 韓国 スペイン 英国 米国 合計 内訳 67 89 54 142 45 165 39 55 82 55 71 26 41 46 109 501 1,587 Ponemon Institute 高度かつ責任ある情報管理 Ponemon Instituteは、企業や政府機関が実施する責任ある情報・プライバシー管理を、独自の研究調査と 教育活動を通じて支援します。弊社のミッションは、人や組織における機密情報管理およびセキュリティに 関わる重要な問題について、高品質かつ実績の高い調査を実施することです。 弊社は、全米アンケート調査機関評議会(CASRO)の一員として、データ機密、プライバシー、倫理に関 する厳格な基準に準拠しています。個人を特定できるような個人情報(企業調査の場合は、会社が特定でき るような情報)は回収しません。また弊社は、無関係な質問や不適切な質問が含まれないように、厳格な品 質基準を設定しています。 Ponemon Institute© Research Report 29 ページ
© Copyright 2024 ExpyDoc
