データセキュリティインテリジェンスの現状: 概要

データセキュリティインテリジェン
スの現状: 概要
インフォマティカ協賛
Ponemon Institute LLC による独自調査
発行日: 2015 年 4 月
Ponemon Institute© 調査レポート
データセキュリティインテリジェンスの現状: 概要
Ponemon Institute、2015 年 4 月
本レポートは、Ponemon Institute が、インフォマティカ協賛の元に「データセキュリティイ
ンテリジェンスの現状」について調査した結果を報告するものです。本調査は、企業がオンプ
レミスおよびクラウド上にある自社の機密情報に対するリスクを評価し、最小限に抑えるため
に、どのようにデータセキュリティインテリジェンスを使用しているかを知ることが目的で
す。
世界 18 か国、16 業種の IT 担当者および IT セキュリティ担当者 1,663 人を対象に調査を実
施しました。本調査の目的に合った質の高い詳細な回答を得るために、機密情報の保護に携わ
る IT 担当者のみを対象としました。
本調査の参加者は、オンプレミスおよびクラウド上のどこに機密データがあるのかが分からず、
またそのデータが攻撃または侵害に対して脆弱であるかどうかを判断できないことが、最も重要
なセキュリティ問題だと認識しています。また、機密データが急増している場所を特定できる
自動化ソリューションなどの適正なテクノロジーを使用すれば、データセキュリティの有効性が
高まると考えています。
IT 担当者が最も頭を悩ませているのは？回答者の 64% が、機密データがどこにあるか分から
ないことが最も不安だと回答しています。これは、昨年の調査 157% だった割合から大幅に増
えています。これに次いで多いのが、派遣または契約社員によるミス (回答者の 55%)、データ
のリスクが分からないこと (回答者の 52%) です。
0F
以下は、本調査で明らかになった企業の自社機密データに対する実態です:

企業は、オンプレミスの機密情報の 30%、クラウド上の機密情報の 54% についてリスクを
評価できていません。

オンプレミスの機密情報に対するリスクを評価できる共通プロセスがある企業はわずか 43%
で、クラウドに至っては 33% でした。

オンプレミスの機密データに対する新たな脅威にプロアクティブに対応できる能力がある、
と強い自信を持っている回答者はわずか 19%、クラウド上の機密データについて同様の自信
を持っている回答者は 18% でした。

常時データ侵害を検出できると述べた回答者はわずか 21% でした。

機密情報へのアクセス権のある個人を追跡管理できる共通プロセスがあるにもかかわらず、
内部関係者によるデータへの過剰アクセスリスクはほとんどないと述べた回答者はわずか 2
2% でした。
本調査結果の主なポイントを以下にまとめました。
IT 担当者の頭を悩ませる 3 大原因の 2 つは、データの場所とリスクを特定できないこと: 機
密データがどこにあるのか分からないのが不安だと述べた回答者は 64%、またデータのリスクが
1
Ponemon Institute (インフォマティカ協賛): The State of Data Centric Security、2014 年 6 月
Ponemon Institute© 調査レポート
1 ページ
分からないことを理由に挙げた回答者は 52% でした。派遣または契約社員によるミスも、懸念
事項として挙がっています。
クラウド上にある機密情報の方がよりリスクが高いと考えられている: クラウド上にある機密情
報のうち、平均 34% がリスクにあると考えられていました。これに対して、オンプレミスの機
密情報は、24% でした。
また、情報がどの程度リスクにさらされているかを判断することも、オンプレミスと比べて、ク
ラウドのほうが難しいと考えられています。回答者は、クラウドに保管されている全データの
うちの 54% は、リスクを評価できないと述べています。これに対して、オンプレミスの場合
は、 30% に留まっています。
回答者の 80% は、自社の機密情報が流出または侵害されるかどうかが分からないことが、重大
なセキュリティリスクだと述べています。回答者は、収集、保管、処理するデータ全体の平均
34% が機密データだと考えています。
大部分の企業が、機密データに対するリスクを評価する共通プロセスを持っていない: クラウド
上にある機密データに対するリスクを評価する共通プロセスがあると述べた回答者はわずか 3
分の 1、オンプレミスの場合は 43% でした。
企業は機密データへのアクセス権のある個人を追跡管理していますが、それで機密情報への不正
アクセスを防げるのでしょうか？オンプレミスにある機密情報へのアクセス権のある個人を追
跡管理する共通プロセスがあると述べた回答者は 70%、クラウドに対しては 29% でした。さら
に、正社員、派遣または契約社員がデータへ過剰にアクセスするリスクはほとんどないと述べた
回答者は、わずか 22% でした。
大部分の企業は、機密情報に対する潜在的な脅威を判断するための手段を講じていません。オ
ンプレミスにある機密データを検出、分類するための共通プロセスがあると述べた回答者はわず
か 46%、クラウドに対しては 30% でした。
オンプレミスにあるデータについて、細かいレベルで潜在的な脅威となる可能性のある異常なア
クティビティを特定できるアクセスパターンの変化を追跡管理していると述べた回答者は 46%
でしたが、クラウド上のデータに対してはわずか 19% でした。同様に、新たな脅威に対抗で
きる新しい管理方法や予防対策を導入できるプロセスがあると述べた回答者は 45%、クラウドに
対してはわずか 19% でした。
オンプレミスにあるデータに対するリスク評価に最もよく使用されているソリューションとは？
回答者の 44% は、自社開発したソリューションを使用し、その次がベンダー提供のソリューシ
ョンでした。クラウド上にあるデータについては、回答者の 54% がベンダー提供のソリューシ
ョンを使用していると答えています。オンプレミスとクラウドの両方にオープンソースソリュ
ーションを使用していると述べた回答者はわずか 19% でした。
クラウド上にある機密データよりも、オンプレミスにある機密データの方が、新たな脅威にプロ
アクティブに対応できるという自信がある: オンプレミスにある機密データを保護することに強
い自信を持っている、あるいは自信があると述べた回答者は 52% でしたが、クラウド上にある
機密データを狙う新たな脅威にプロアクティブに対応する能力に自信があると述べた回答者は、
わずか 40% でした。
Ponemon Institute© 調査レポート
2 ページ
企業はどの程度データ侵害を検出できる備えがあるか？常時データ侵害を検出できると述べた
回答者はわずか 21% でした。
過去 12 か月間に 1 回以上のデータ侵害があったと述べた回答者は、55% でした。回答者の 7
0% は、特定のプロセスやインテリジェンステクノロジーがあれば、こうしたデータ侵害を回避
できたと考えています。これらの回答者のうち 59% は、もっとスキルの高い人材がデータセキ
ュリティを担当していたら、データ侵害を回避できたと考えています。
データを利用できるユーザーを、どの程度効果的に管理、監視、実行しているか？データ侵害
の検出と阻止に長けている、または非常に長けていると述べた回答者はわずか 32%、優先順位を
付けてデータ分類をうまく管理できていると述べた回答者は 30% でした。また、個人および会
社の機密情報へのアクセスを追跡管理、監査できていると述べた回答者は 30%、役割または場所
ごとに管理できていると述べた回答者は 27% でした。
機密データが繁殖している場所を検出し、リスクを評価できる自動ソリューションがあれば、デ
ータセキュリティの有効性を高められると考えている: 回答者の 62% は、データベースやエン
タープライズアプリケーション内の機密データを検出し、オンプレミスにあるデータのリスク
を評価する自動ソリューションを所有しています。クラウド上にあるデータに対してこのよう
なソリューションを所有していると述べた回答者はわずか 33% でした。
オンプレミスにある機密データに対してこのようなソリューションを導入していると述べた回答
者は 46%、クラウドのデータに対しては 37% でした。
機密データを検出し、リスクを評価する自動ソリューションを所有していないと述べた回答者
は、このようなソリューションがあれば、オンプレミスのデータ (回答者の 77%) とクラウド上
のデータ (回答者の 80%) の有効性が高まると考えています。
現在最も多く導入されているデータセキュリティツールは、データ分類ツール、監視ツール、
データ分類ツール: データ侵害を防ぐために最も使用されていないのは、データマスキング機能
とデータ喪失防止機能です。
コンプライアンスとデータ保護の改善に有効だと考えられている機能は、ユーザーアクセス履歴
とリアルタイム監視の自動化 (75%)、ポリシーワークフローの自動化 (74%)、データディスカバ
リとリスク評価の自動化 (68%)、地域やデータセンター、部門を横断的に集約できるビュー (6
4%)、テクノロジー診断 (64%)であると回答しています。
本調査についてのご質問は、電子メール ([email protected]) またはお電話 (800.877.3118) でお問
い合わせください。
Ponemon Institute
責任ある情報管理を推進
Ponemon Institute は、企業や政府の中で責任ある情報/プライバシー管理手法を推進する独立調査と教育
を専門としています。当社の使命は、人や組織に関する機密情報の管理とセキュリティに影響する重要な
問題について、質の高い実証的調査を実施することです。
当社は、アメリカサーベイリサーチ機関協議会 (CASRO: Council of American Survey Research Organi
zations) の一員として、データの機密性、プライバシー、倫理的な調査に関する厳格な基準を維持してい
Ponemon Institute© 調査レポート
3 ページ
ます。個人から、個人を特定できる情報 (ビジネス調査の場合は、企業を特定できる情報) を収集するこ
とはありません。当社はさらに、調査対象者が、無関係、無意味、あるいは不適切な質問を受けることが
ないように、厳しい基準を設けています。
Ponemon Institute© 調査レポート
4 ページ

Download Report