Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る

2024年Kiteworks機密コンテンツ通信のセキュリティとコンプライアンスレポート

コミュニケーションツールの乱立、サードパーティとのデータ交換、ガバナンスの欠如がリスクを増大

レポートをダウンロード
Foreword

はじめに

2024年Kiteworks機密コンテンツ通信プライバシー&コンプライアンスレポートをお届けできることを大変嬉しく思います。本レポートは、機密コンテンツ保護の現状や、組織が重要な情報資産を守る上で直面する課題について、非常に価値の高い知見を提供します。

今日、機密コンテンツの保護はこれまで以上に重要性を増しています。組織がデジタルコミュニケーションやコラボレーションにますます依存し、サードパーティエコシステムが拡大する中、データ侵害に関連するリスクも増大し続けています。本レポートでは、機密コンテンツのセキュリティとコンプライアンスを確保するために組織が乗り越えるべきトレンドと課題を明らかにしています。

はじめにを読む

エグゼクティブサマリー

当社の「機密性の高いコンテンツ通信におけるプライバシーとコンプライアンスレポート」は、IT、サイバーセキュリティ、リスクおよびコンプライアンスのリーダーに対し、同業他社のデータインサイトを提供します。本レポートの目的は、メール、ファイル共有、マネージドファイル転送、セキュアファイル転送プロトコル(SFTP)、ウェブフォームなど、さまざまなコミュニケーションチャネルを通じて送信・共有する機密コンテンツが確実に保護されるよう支援することです。同時に、機密データの共有や送信が各種データプライバシー規制に準拠し、さらにコミュニケーションシステムが厳格なセキュリティ基準や認証に適合していることも確保します。

今年の調査はCentimentによって2024年2月から3月に実施され、データセキュリティ、プライバシー、コンプライアンスに関連する多様なトピックに関する33の質問で構成されていました。一部の質問は「過去の再来」ともいえるもので、過去2年間のいずれかまたは両方で実施された調査からの繰り返しであり、その他は新たなトレンドの詳細を把握するために追加されました。北米、ヨーロッパ、中東・アフリカ(EMEA)、アジア太平洋地域のIT、サイバーセキュリティ、リスクおよびコンプライアンスリーダーから合計572件の回答が寄せられました。

トレンドの特定や知見の促進のために行った主な質問例は以下の通りです。

  • コミュニケーションツールの数がリスク管理にどのように影響するか
  • データ侵害が訴訟費用に与え続けている影響
  • どのデータタイプが最大のリスクとなるのか、その理由
  • 規制コンプライアンスやセキュリティ基準が、ベースラインとなるセキュリティ標準やより包括的なデータプライバシー規制の策定を通じて、どのようにデータ保護を強化しているか
  • コミュニケーションツールの高度なセキュリティ機能がリスク低減にどのようにつながるか
  • レガシーかつ不十分な機密コンテンツ通信のアプローチが、なぜ・どのように非効率を生み、プライバシーやコンプライアンスリスクを高めているのか

レポートの主な調査結果

57%

外部コンテンツの送信・共有を追跡・管理・報告できない

回答者の57%が、外部コンテンツの送信や共有について追跡・管理・報告ができていないと答えています。これはガバナンス上の大きなリスクギャップです。

3分の2

1,000社以上の第三者と機密コンテンツをやり取りしている組織

回答者の66%が、1,000社を超える第三者と機密コンテンツをやり取りしていると回答しています。データが組織の外に出ると、アクセスの追跡や管理の重要性がさらに高まります。

3.55倍

7種類以上のコミュニケーションツール利用で10件以上のデータ侵害発生リスクが増大

組織が利用するコミュニケーションツールが多いほどリスクも高まります。7種類以上のツールを利用している回答者は、10件以上のデータ侵害を経験しており、その発生率は全体平均(1件から10件以上のデータ侵害を経験した組織)と比べて3.55倍に上ります。

$5M

年間データ侵害訴訟費用が半数の組織で500万ドル超

5,000社以上の第三者と機密コンテンツをやり取りしている回答者の半数が、昨年、年間訴訟費用として500万ドル超を支出しています。

89%

機密コンテンツ通信のコンプライアンス改善が必要と認識

機密コンテンツ通信のコンプライアンス測定・管理について改善が不要と回答したのはわずか11%にとどまりました。

62%

コンプライアンス報告のために1,500時間以上の工数を費やしている

62%の組織が、コンプライアンス報告のためにコミュニケーションツールのログを集計・照合する作業に年間1,500時間以上のスタッフ工数を費やしています。

はじめに

Kiteworks機密コンテンツ通信レポートの第3版へようこそ!本レポートでは、組織が機密コンテンツのプライバシーとセキュリティをどれだけ保護し、データプライバシー規制やセキュリティ規格への準拠を実現しているかについて、詳細な調査を実施しています。

ここでいう「機密コンテンツ」とは、悪意ある攻撃者の標的となり得る多様なコンテンツタイプを指し、これらが流出すると正当な組織にとって重大なリスクとなります。ニュースで頻繁に取り上げられる「データ侵害」という言葉が示す通り、侵害されるのはこの機密コンテンツです。機密コンテンツには、顧客や従業員のデータ—個人識別情報(PII)、保護対象保健情報(PHI)、決済カード業界(PCI)データ—が含まれます。また、組織の知的財産(IP)、法務関連のコミュニケーションや文書、財務情報、M&Aデータ、その他の非公開・機密情報も含まれます。

セキュリティリスク

セキュリティの観点から見た場合、機密コンテンツの課題は一カ所にとどまらないことです。日常業務の中で、従業員間だけでなく、パートナー、サプライヤー、請負業者、法務顧問、会計士、監査人などとも共有されます。組織が前進するためには、この情報が組織と数千の第三者間でスムーズに移動する必要があります。そして実際、複数の通信チャネルを介してやり取りされていることが分かります。

そのため、組織はコンテンツを保存場所だけでなく、さまざまな通信チャネルを通じて第三者に渡る過程でも保護しなければなりません。残念ながら近年、サイバー犯罪者はソフトウェアサプライチェーンの脆弱性を突き、数百から数千の組織や数百万件の機密データファイルにアクセスする手口を発見しました。今年のVerizonによるData Breach Investigations Report(DBIR)でもこの傾向が裏付けられており、ソフトウェア脆弱性の悪用が前年比180%増加し、ソフトウェアサプライチェーンによるデータ侵害も前年比68%増加、全データ侵害の15%を占めることが明らかになりました。1 昨年のProgress SoftwareのMOVEit2やFortaのGoAnywhere3に対するClopランサムウェア攻撃、マネージドファイル転送(MFT)ソリューションへの攻撃が、そのリスクを示しています。

AIサイバーリスク

コンテンツ通信チャネルの保護に加え、企業や政府機関には過去18カ月でさらに緊急性を増した新たな優先課題が生じています。人工知能(AI)が技術進化と普及の両面で急速に拡大する中、従業員やパートナーが日常的に利用する可能性のある大規模公開言語モデル(LLM)に機密コンテンツが流出しないよう、厳重な管理が不可欠です。

Gartnerによると、GenAI LLMの利用に関するリスク面での懸念トップ3は、第三者による機密データへのアクセス(サイバーセキュリティリーダーの約半数)、GenAIアプリケーションやデータの侵害(回答者の40%)、誤った意思決定(3分の1超)です。4 従業員がGenAIツールに機密データを入力するリスクは現実のものです。昨年末に実施された調査では、従業員の約3分の1が機密データをパブリックGenAIツールに入力したと認めています。同じ調査で、39%の回答者がパブリックGenAIツール利用における機密データ漏洩の可能性を最大のリスクとして挙げています。5

同時に、AI利用のハードルが下がったことで、一般ユーザーだけでなく、技術力の低いサイバー犯罪者でもより複雑な攻撃を仕掛けやすくなっています。6 国家レベルの脅威アクターやサイバー犯罪者と正規組織との間で「軍拡競争」が激化しているという危機感が高まっています。

コンプライアンスリスク

自社が単一の法域でのみ事業を展開していない限り、規制上のデータプライバシーコンプライアンスで難しいのは、地域ごとに異なる要件が存在し、それがコンプライアンスの複雑さとコスト増につながる点です。新たな規制の増加や既存規制の進化により、過去1年で93%の組織がサイバーセキュリティ戦略の見直しを迫られました。7 欧州連合の一般データ保護規則(GDPR)は2018年に施行され、27加盟国を単一のデータプライバシー規格で統一しました。

しかし、他の地域では事情はそれほど単純ではありません。国連のデータによれば、世界194カ国中137カ国がデータプライバシー法を有していますが、その内容は大きく異なります。8 米国では、最も厳格な連邦法は医療保険の相互運用性と説明責任に関する法律(HIPAA)ですが、これはPHIのみを対象とし、PIIは対象外です。連邦レベルで全国的な規格が成立しない中、各州が独自に対応し始め、2018年にはカリフォルニア州消費者プライバシー法(CCPA)が成立しました。それ以降、さらに17州が包括的なデータプライバシー法を制定し、10州で法案が進行中です。9 米国の市民や居住者の保護が拡大する一方、コンプライアンスを求められる側にとっては「パッチワーク」が一層複雑化しています。

これらデータプライバシー規制を監督する各機関は、組織へのコンプライアンス圧力を強め続けています。2023年のGDPR違反に対する罰金・制裁金は22億6900万ドル(21億ユーロ)に達し、2019~2021年の合計を上回りました。10 1件あたりの罰金額も急増しており、昨年は1件あたり475万ドル(440万ユーロ)、2019年の54万ドル(50万ユーロ)から大幅に増加しています。HIPAA違反による罰金・制裁金も同様に深刻で、昨年は41億7600万ドルに達しました。11

データプライバシー規制に加え、サイバーセキュリティ規格やルールも政府機関や監督機関の重点分野となっています。過去1年で導入された主な新しいサイバーセキュリティ規制には、SECによるサイバーセキュリティリスク管理および上場企業向けインシデント開示規則、重要インフラ向けサイバーインシデント報告法(CIRCIA)、欧州のサイバーレジリエンス法(CRA)、デジタル・オペレーショナル・レジリエンス法(DORA)、米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)2.0などがあります。

人的リスク

データセキュリティやコンプライアンスにおける人的リスクは依然として深刻な課題であり、多くの機密データ漏洩の原因となっています。DBIRによると、侵害につながるエラーの68%はエンドユーザーによるものです。12 これは、従業員や第三者が機密情報を誤った宛先に送信したり、データを適切に保護しなかったり、ビジネスメール詐欺やフィッシングなどのソーシャルエンジニアリング攻撃の被害に遭うなど、さまざまな形で発生します。機密コンテンツ通信の可視性やガバナンスの欠如が主な要因であり、不十分なセキュリティ基盤や管理策も拍車をかけています。

サイバーセキュリティリーダーの約半数が、第三者による機密データへのアクセスを今年最大のリスク要因として挙げています。

“2024 Gartner Technology Adoption Roadmap for Larger Enterprises Survey,” Gartner, February 2024

本調査の方法論

今年のKiteworks機密コンテンツ通信レポートは、従業員1,000人超の組織でIT、サイバーセキュリティ、リスク・コンプライアンス管理に従事する572名の専門家を対象にした包括的な調査に基づいています。全体の回答傾向を分析し、2023年および2022年の調査結果と比較、さらにさまざまな属性ごとにクロス分析を行っています。

多様な回答者層

回答者は世界8カ国から集まり、北米(34%)、アジア太平洋(18%)、欧州・中東・アフリカ(48%)(図1・2)と幅広い地域をカバーしています。企業規模も多様で、54%が従業員1,000~10,000人、46%がそれ以上の規模(図3)です。

業種も幅広く、セキュリティ・防衛(15%)、製造(12%)、医療(12%)、金融サービス(12%)が最も多く(図4)、2割超(22%)が政府・教育分野、4分の1が金融・法務・専門職、10%がエネルギー業界で働いています。

職種別では、経営層が31%、中間管理職が69%(図5)と、組織内のさまざまな階層の専門家が含まれています。また、リスク・コンプライアンス(26%)、IT(42%)、セキュリティ(31%)の各分野に分かれています。

2024年末までに、世界人口の75%が現代的なプライバシー法によって個人データが規制されるようになります。

“Gartner Identifies Top Five Trends in Privacy Through 2024,” Gartner Press Release, May 31, 2022

機密性の高いコンテンツ通信におけるプライバシーとコンプライアンスの知見

回答者の紹介が終わったところで、彼らから得られた調査結果についてご紹介します。今年は、サイバー攻撃やデータ侵害のリスクの測定・管理、データの種類と分類、サイバーセキュリティ、コンプライアンス、運用プロセスに関する知見が明らかになりました。

サイバー攻撃とデータ侵害

知見:機密性の高いコンテンツ通信も頻繁に侵害されている

悪意のあるサイバー攻撃は、あらゆる業界で機密性の高いコンテンツにとって依然として深刻なリスクとなっています。実際、Identity Theft Resource Centerによると、昨年は3,205件のデータ侵害が公表され、推定3億5,300万人以上が影響を受けました。これは2022年比で78%増加しています。13 良いニュースとしては、2024年の回答者は2023年の回答者よりもやや状況が改善しています。しかし悪いニュースとして、組織は依然として危険な侵害に頻繁に直面しています。回答者の約3分の1(32%)が、過去1年間に機密性の高いコンテンツに対する外部からの悪意あるハッキングを7回以上経験したと回答しており、昨年の36%(図6)からは減少しています。また、3回以下の侵害を報告した企業は36%と昨年より増加しましたが、それでも理想的な水準より高い状況です。

業界ごとに被害件数には大きな差が見られました(図7)。高等教育、セキュリティ・防衛、石油・ガス業界では、4回以上の侵害を経験したと回答した割合が68%以上と、全体の55%よりも高くなっています。連邦政府部門でも懸念すべきデータが示されており、17%が10回以上、さらに10%が7~9回の侵害を報告しています。さらに深刻なのは、最も機密性の高いコンテンツを扱うセキュリティ・防衛組織の42%が、7回以上のデータ侵害を認めている点です。一方で、製薬・ライフサイエンス企業は状況が大きく異なり、4回以上の侵害を報告した回答者はわずか28%でした。

アジア太平洋地域の組織も侵害被害が特に多く、同地域の回答者の72%が4回以上のインシデントを報告しています(図8)。アジア太平洋地域の組織は機密性の高いコンテンツをやり取りする第三者の数が多い傾向があり(後述)、さらなる調査により両者の関連性が明らかになる可能性があります。最後に、従業員数20,001~30,000人の企業は他の規模よりも被害が深刻で、75%以上が4回以上の侵害を報告しています。一方、より小規模または大規模な企業グループでは、この割合は60%未満に抑えられています(図9)。

昨年、32%の組織が機密性の高いコンテンツに対する7回以上の外部からの悪意あるハッキングを経験。

データ侵害の訴訟コスト

データ侵害が発生すると、そのコストは非常に広範囲に及びます。規制違反による罰金・制裁金、業務のダウンタイム、生産性の低下、収益損失などが含まれます。昨年発表されたIBMとPonemon Instituteによる年次「データ侵害コストレポート」では、データ侵害1件あたりのコストは4.45百万米ドルとされており、年々増加傾向にあります。14 ただし、この数字にはデータ侵害に関連する法的コストが見落とされたり過小評価されたりすることが多いため、実際はさらに高額になる可能性があります。そこで今年は、訴訟コストに関する質問を調査に追加し、有用なインテリジェンスが得られました。

その結果、回答者の6割が、内部・外部いずれのデータ損失インシデントに対しても、毎年200万ドル超の法的コストを支出していると回答しました。さらに45%が300万ドル超、4分の1が500万ドル超を費やしています(図10)。組織規模が大きいほど訴訟コストも高額になり、従業員数30,001人超の組織の39%(7~9回の被害が17%、10回超が22%)が法的費用が700万ドル超と回答し、15,001人超の組織の半数以上が300万ドル超を支出しています(図11)。業界別では高等教育分野が最も影響を受けており、49%が昨年500万ドル超を支払ったと報告しています(図12)。地域別では北米がトップで、27%が500万ドル超の支払いを報告しました。一方で、EMEA地域の回答者の14%がデータ侵害の訴訟コストを把握していないというギャップも明らかになりました(図13)。

組織の45%が毎年300万ドル超の訴訟コストを負担、4分の1は500万ドル超を支出。

データタイプと分類

知見:すべてのデータ交換を追跡・管理できていない

データの指数関数的な増加は、過去18か月間で生成AI(GenAI)大規模言語モデル(LLM)の導入によりさらに加速しました。メール、ファイル共有、SFTP、マネージドファイル転送、Webフォームなどのアプリケーションからコンテンツが外部に出る際、組織がそのコンテンツへのアクセスを追跡・管理できることが重要です。

組織は自社のデータタイプ、その保存場所、送信・共有先を把握する必要があります。管理すべき非構造化データを特定するには、分類システムの導入が不可欠です。非構造化データのうち、どれだけがタグ付け・分類されているか尋ねたところ、回答者の半数未満(48%)が自社データの75%以上が該当すると回答しました(図14)。業界別では、ヘルスケアで65%、金融サービスで56%、法務で55%がこの水準に達しています(図15)。

ただし、すべての非構造化データがタグ付け・分類される必要はないとする組織もありました。40%の組織が、非構造化データの60%以上をタグ付け・分類する必要があると回答しています。また、組織規模が大きいほど、タグ付け・分類が必要な非構造化データの割合が増加します。たとえば従業員数30,001人以上の組織では、15%が「すべてのデータがタグ付け・分類されるべき」とし、さらに20%が「80%以上がタグ付け・分類されるべき」と回答しています(図16)。地域別では、北米の回答者がタグ付け・分類の必要性をより強調しており、10%が「すべての非構造化データがタグ付け・分類されるべき」、16%が「80%以上」と回答しています(図17)。連邦政府の回答者では「すべてのデータがタグ付け・分類されるべき」とした割合が最も高く(24%)、さらに17%が「80%以上」と答えています(図18)。

連邦政府の回答者の41%が、非構造化データの80%以上をタグ付け・分類する必要があると回答しました。

データタイプごとのリスク評価

前述の通り、機密性の高いコンテンツは組織内でさまざまな形で存在しますが、それぞれが同じレベルのデータ侵害リスクを持つわけではありません。IBMの年次データ侵害コスト調査によれば、個人識別情報(PII)が最もコストが高く、最も多く侵害される記録です。PIIは2023年に最も多く侵害された記録タイプであり、全データ侵害の52%を占め、過去2年間も同様の傾向でした。15 IBMの調査結果は、最新のDBIRでも裏付けられており、全データ侵害の50%がPIIに関連していました。

この結果を本調査の回答者ランキングと比較すると、違いが見られます。たとえば、IBMとVerizonの調査データからは、回答者がPIIを最重要のコンテンツタイプとして挙げると予想されますが、実際にはそうではありませんでした。代わりに、財務関連文書(55%)、知的財産(44%)、法務コミュニケーション(44%)が上位3つの懸念事項として挙げられました(図19)。

IBMおよびVerizonのデータを裏付けるものとして、PHI(保護対象保健情報)に関するクロス分析があり、PHIを上位3つのデータタイプ懸念事項に挙げた回答者は、他のデータタイプを挙げた回答者よりも悪意あるデータ侵害の発生率が高いことがわかりました。たとえば、PHIを上位3つの懸念事項に挙げた回答者の43%が「7件以上のデータ侵害を経験した」と回答しており、全体の32%(7件以上の侵害を報告した回答者)と比較して高い割合です(図20)。2番目にデータ侵害率が高かったデータタイプは知的財産(IP)で、35%が「7件以上のデータ侵害を経験した」と回答しています。

特に注目すべきは、北米の回答者の半数がGenAI LLMを上位3つの懸念事項に挙げており、財務関連文書に次ぐ順位となっています(図21)。業界別では、石油・ガス(62%)、製薬(61%)、連邦政府(61%)、州政府(58%)、法律事務所(58%)でLLMへの懸念が特に高くなっています。

どのデータタイプが最もリスクが高いと見なされているかは、データタイプや業界によって大きく異なります:

  • GenAI LLMは、エネルギー・公益事業およびセキュリティ・防衛業界で最も多く選ばれており、50%でした。
  • PIIは、高等教育機関で最も多く挙げられ、50%でした。
  • PHIは、ヘルスケア業界で最も多く挙げられ、58%でした。
  • CUIおよびFCIは、製造業で最も多く挙げられ、79%でした。
  • 法務コミュニケーションは、石油・ガス業界(62%)および連邦政府機関(61%)で最も多く挙げられました。
  • 合併・買収の詳細は、製薬・ライフサイエンス業界で最も多く挙げられ、40%でした。

PHIを上位3つのデータタイプ懸念事項に挙げた回答者は、他のデータタイプを挙げた回答者よりも悪意あるデータ侵害の発生率が高いことがわかりました。

コンプライアンスとリスク管理

知見:コンプライアンスとリスク管理は喫緊の課題

近年、サイバーセキュリティリスクが組織全体のリスクポートフォリオに占める割合は年々増加しているようです。CrowdStrikeの年次脅威レポートによると、eCrime専用リークサイトで名前が挙がった被害者数は前年比76%増加しました。16 Verizonの最新DBIRでは、過去1年間に3万件以上の実際のセキュリティインシデントを分析し、そのうち約3分の1(10,626件)がデータ侵害であったことを確認しています。17

多くのデータ侵害の中心に機密データがあることから、政府機関や業界団体は新たな規制や規格の策定、既存規制の強化で対応しています。これにより、インシデント対応やコンプライアンス監査・報告が複雑化し、特にグローバル企業にとっては地理的なパッチワーク状の規制対応が課題となっています。

本調査の過去数年と同様、2024年の回答者もコンプライアンスとリスク管理に引き続き苦戦していることが明らかになりました。これは、機密性の高いコンテンツコミュニケーションツールに関するコンプライアンスリスク管理の現状についての基本的な質問への回答からも明確です(図22)。この分野で「改善の必要なし」と答えたのはわずか11%で、2022年や2023年の回答者よりも大幅に低い結果となりました。一方で、「大幅な改善が必要」と答えた割合は32%と減少傾向にあります。

この質問に関する地域差は小さいものの、企業規模は影響要因となっています。特に大企業ほど「大幅な改善が必要」と回答する傾向が強く(図23)、従業員15,001人超の各グループで3分の1以上がそのように回答しています。ただし、規制コンプライアンスに対する自信にはばらつきがあります。フランスの回答者の29%が「改善の必要なし」と答えており、他国と比べて高い割合です(ドイツ5%、英国10%、サウジアラビア・UAE13%、図24)。興味深いことに、連邦政府の回答者は機密性の高いコンテンツコミュニケーションのコンプライアンス管理・測定について「大幅な改善が必要」とした割合が41%と、他の業界セクターよりも高くなっています(次点はプロフェッショナルサービス業の36%、図25)。

機密性の高いコンテンツコミュニケーションのコンプライアンス測定・管理に「改善の必要なし」と回答した組織はわずか11%でした。

規制の注力分野

グローバル企業にとって、データプライバシー規制やセキュリティ規格への対応は多岐にわたります。現在までに160以上のプライバシー法が国際的に制定されており、今後も増え続けています。非遵守の場合、ブランド価値の毀損、収益損失、罰金や制裁、継続的な訴訟コストが発生します。その結果、今年のISACAプライバシーレポートでは、回答者の37%が「ある程度自信がある」とし、さらに13%が「自信があまりない」または「全くない」と回答し、新たなプライバシー法や規制への対応・コンプライアンス達成に不安を感じていることが示されています。18

データプライバシーとコンプライアンスで最も注力している分野を2つ挙げてもらったところ、EU一般データ保護規則(GDPR)と、カリフォルニア州消費者プライバシー法(CCPA)など米国各州で制定されているデータプライバシー法が、いずれも41%で最も多く挙げられました(図26)。

GDPRはEMEA地域で57%と特に多く挙げられ、米国州法は北米の回答者で63%と高い割合でした(図27)。職種別では、リスク・コンプライアンスリーダーの52%がGDPRを重視しており、ITリーダー(38%)、サイバーセキュリティリーダー(33%)よりも高い傾向です(図28)。ITリーダーは米国州データプライバシー法を最も重視しており(52%)、リスク・コンプライアンス(25%)、サイバーセキュリティ(40%)リーダーより高くなっています。同時に、サイバーセキュリティリーダー(35%)はCMMC 2.0により注力しており、IT(22%)、リスク・管理(18%)リーダーを上回っています。米国特有の法律である医療保険の相互運用性と説明責任に関する法律(HIPAA)は、北米の回答者の38%が挙げていますが、アジア太平洋地域では43%とさらに高い割合でした。

業界別に規制コンプライアンスを見た場合、いくつか懸念されるリスクギャップが存在します。例えば、セキュリティ・防衛請負業者でCMMCコンプライアンスを最優先事項の一つに挙げたのは38%にとどまっています。現在CMMC 2.0の段階的導入が進行中であり、コンプライアンスを満たさないセキュリティ・防衛請負業者や下請け業者は国防総省のビジネスを失うリスクが高まっています。

回答者が挙げた最重要コンプライアンス規制の上位2つはGDPRと、これまでに18州で成立した新たな米国データプライバシー法でした。

認証・認定の注力分野

規制ではなく認証・認定に関しては、2つの規格が回答者の最優先事項の上位2つとして挙げられました(図29)。国際標準化機構(ISO)による規格(53%)、および米国国立標準技術研究所(NIST 800-171、42%)です。NIST 800-171の110の管理策はCMMC 2.0 レベル2と同じであり、CMMC 2.0の段階的導入が進む中、この優先度の高さは有望です。ISO 27001、27017、27018規格は、全地域・ほとんどの業界で最も多く挙げられており、EMEAでは59%、製薬業界では67%、地方自治体では69%がこれらの認証を重視しています(図30・31)。

アジア太平洋地域の回答者にはオーストラリア企業が多いため、情報セキュリティ登録評価者プログラム(IRAP)が他の2地域よりも多く選ばれた(45%)のは納得できます。興味深いことに、NIS2指令はEMEA企業で20%(北米8%、アジア太平洋4%)と、意外に低い割合でした。NIS2指令が2024年10月17日に各国法へと移行する期限を考えると、本来はより高い優先度が想定されます。職種別では、リスク・コンプライアンスリーダー(19%)がIT(31%)、サイバーセキュリティ(33%)よりNIS2への注目度が低くなっています。北米企業はSOC2報告書タイプIIコンプライアンスを他地域より多く選択しています(41%)。

業界別では、プロフェッショナルサービス企業がSOC2タイプIIを最も多く選択(47%)、製薬・ライフサイエンス企業はISO 27001、27017、27018をより多く選択(67%)、セキュリティ・防衛企業はFedRAMP中程度相当性を44%で最も多く挙げています。法律事務所はIRAP(50%)を最も多く選択しています。

ISO 27001、27017、27018規格が、最も重要なサイバーセキュリティ規格として回答者から最も多く挙げられました。

コンプライアンス報告の課題

企業が遵守すべき規制・認証・認定が何であれ、コンプライアンスの文書化は依然として大きな課題です。組織は機密データの外部送信や共有に苦戦しており、57%がそれらのやり取りを追跡・管理・報告できていないと回答しています(図32)。その一因は、企業が直面する要件のパッチワーク化による複雑さと、膨大な人員・時間リソースの消費です。コンプライアンス報告のために詳細な監査ログをどの程度の頻度で作成する必要があるか尋ねたところ、72%が年5回以上と回答しました(図33)。3分の1超(34%)は年8回以上と答えています。

この質問に関する地域・企業規模の差は大きくありません(図34・35)。北米や小規模企業はややログ要件が少ない傾向ですが、従業員30,001人超の組織では監査ログの件数が多く(19%が年9回)、他の規模よりも多くなっています。業界別では、プロフェッショナルサービス、セキュリティ・防衛、連邦政府が年間監査ログ件数で最も多く、それぞれ78%、77%、72%となっています。法律事務所は5回以上が15%以下と最も少ない結果でした(図36)。

コンプライアンス報告には、詳細なログをレポートにまとめる回数が多いため、多大な人員時間が必要です。全回答者のうち63%が、年間1,500時間超のスタッフ工数が必要と回答しています(図37)。従業員15,001人超の企業ではこの時間が大幅に増加し、従業員30,001人超の3分の1が2,500時間超を費やしていると報告しています(図38)。石油・ガス業界の半数、高等教育機関のほぼ半数が年間2,000時間超を費やしており、業界別で最も高い水準です(図39)。

57%の組織が、外部の第三者との機密性の高いコンテンツのやり取りを追跡・管理・報告できていません。

サイバーセキュリティとリスク管理

知見:機密性の高いコンテンツ通信の保護は依然として大きな課題

セキュリティチームにとって、機密性の高いコンテンツは企業のITシステムで最も保護すべき中心的な存在です。当社の2024年調査回答者は、2023年の回答者と比べて、コンテンツセキュリティ管理に「改善の必要なし」とする割合が大幅に減少しました(図40)。今年そのように回答したのはわずか11%ですが、「大幅な改善が必要」とした割合も減少しています。結果として、過半数(56%)が「ある程度の改善が必要」と回答しています。組織が一定の進歩を遂げている一方で、さらなる改善の必要性を現実的に捉えるようになっていると捉えられます。

ただし、これらの割合はグループごとに一様ではありません。サウジアラビア、アラブ首長国連邦、北米、アジア太平洋地域では30%以上の回答者が「大幅な改善が必要」と回答しています(図41)。同様の傾向は、プロフェッショナルサービス(47%)、金融サービス(43%)、石油・ガス(42%)、連邦政府(41%)、製造業(36%)、ヘルスケア(34%)でも見られます(図42・43)。

56%の回答者が、機密性の高いコンテンツ通信のセキュリティにある程度の改善が必要だと回答。

ゼロトラストへの進展

組織におけるゼロトラストは、さまざまなセキュリティ層での導入と統合が進んでいることを示しています。ネットワーク層では、マイクロセグメンテーションや厳格なアクセス制御によって、脅威の横移動を最小限に抑えるゼロトラスト原則が適用されています。エンドポイントセキュリティでは、高度な脅威対策やエンドポイントにおける検出と対応(EDR)ソリューションを導入し、ネットワークにアクセスするすべてのデバイスが継続的に認証・監視されています。IDおよびアクセス管理では、多要素認証(MFA)や特権アクセス管理(PAM)が重要な要素となり、ユーザーアクセスが厳格に管理・検証されています。コンテンツ層では、データの暗号化やリアルタイム監視が実施され、機密情報の保護が図られています。ゼロトラストを優先する組織が多い一方で、約半数(48%)がオンプレミスとクラウドの両環境でゼロトラストを統合する際に困難を感じていると報告しています。19

本レポートで特に注目しているのは、コンテンツセキュリティ層です(図44)。まず注目すべきは、コンテンツセキュリティでゼロトラストを実現できていない企業が45%も存在するという残念な現状です。さらに、地域によってはこの数値がさらに悪化しています。英国の回答者でこの基準を満たしたのは35%、中東とアジア太平洋地域ではいずれも39%にとどまっています(図45)。業界別では、州政府(21%)、石油・ガス(33%)、製薬・ライフサイエンス(39%)がコンテンツのゼロトラスト保護で遅れを取っています(図46)。

45%の組織が、コンテンツセキュリティでゼロトラストを実現できていないことを認めています。

機密性の高いコンテンツを守るためのセキュリティ強化

機密性の高いコンテンツ通信に高度なセキュリティ機能を使用していないと認めた組織では、実に36%が自社で発生したデータ侵害の件数を把握していないと回答しています。これは、一部またはすべてのコンテンツ通信に高度なセキュリティを導入していると回答した組織(いずれも8%)と比べてはるかに高い割合です(図47)。このことは深刻なリスクギャップを示しています。業界別に見ると、法務(55%が一部または未導入)、地方自治体(50%)、連邦政府(48%)、ヘルスケア(44%)で課題が大きいことが明らかになっています。これに対し、グローバル全体では41%です。最も導入が進んでいるのは、プロフェッショナルサービス(71%がすべてに導入)、州政府(71%)、高等教育(65%)(図48)。

高度なセキュリティを使用していない組織は、自社で経験したデータ侵害の件数を把握していないと認める割合が大幅に高いです。

機密性の高いコンテンツの追跡・分類・アクセス制御

メール、ファイル共有、SFTP、マネージドファイル転送、Webフォームなどのアプリケーションからコンテンツが外部に出る際、組織がそのコンテンツの追跡やアクセス制御を行えることが重要です。これを毎回実施できていると回答したのはわずか16%ですが、約4分の3の頻度で実施できているとしたのは45%でした(図49)。この割合は、北米で70%、製造業で79%、ヘルスケアで73%と、特定の分野では高くなっています(図50・51)。一方で、高等教育(31%)、石油・ガス(34%)は低い結果となりました。

管理すべき非構造化データを特定するには、分類システムの導入が不可欠です。自社の非構造化データのうち、どれだけがタグ付けや分類されているかを尋ねたところ、全体の48%が「75%以上が分類済み」と回答しました(図14)。北米ではこの割合が56%とやや高くなっています(図52)。業界別では、ヘルスケアが65%、金融サービスが56%、法務が55%と高い水準を達成しています(図53)。

アプリケーションからコンテンツが外部に出る際、すべてのアクセスを追跡・制御できる組織はわずか16%です。

機密性の高いコンテンツのためのセキュリティツール活用

すべてのエンタープライズ企業は、ネットワーク、エンドポイント、クラウドアプリケーション全体で複数のセキュリティツールを活用しています。ただし、これらが内部・外部の機密性の高いコンテンツ通信の保護に使われているかは別の問題です。

多要素認証、暗号化、ガバナンストラッキングや制御などの機能をこうした通信に活用しているかを尋ねたところ、結果は分かれました(図54)。外部の機密性の高いコンテンツ通信については、約6割(59%)が「常にこれらの保護を実施している」と回答しています。ほぼ全員が「一部のケースで実施」と答えています。北米の回答者は最も高いセキュリティレベルで、67%が「常に実施」と回答しており、アジア太平洋は57%、EMEAは53%でした。

機密性の高いコンテンツ通信のセキュリティ測定・管理の成熟度は、依然として組織の重要な注力分野です。「改善の必要なし」と回答したのは11%にとどまり、昨年の調査(26%)から大きく減少しました。一方で、「ある程度の改善が必要」とした割合は今年56%で、昨年の37%から増加しています(図55)。

全体の数値は同じですが、グループ別に分析すると興味深い違いが見られます。内部通信では、州政府とプロフェッショナルサービスのいずれも71%が「常にこれらのツールを使用」と回答しています(図56)。北米の回答者の3分の2(67%)も同様ですが、EMEAでは53%(英国は63%)にとどまります(図57)。興味深いことに、法律事務所は内部通信で最も低く45%でした。外部通信では、製薬・ライフサイエンス(78%)、高等教育(72%)、北米の組織(69%)が高い割合となっています(図56)。

56%の組織が、機密性の高いコンテンツ通信のセキュリティ測定・管理に「ある程度の改善が必要」と回答—昨年より33%増加。

運用プロセス

知見:「村」全体と多くの時間が必要――データセキュリティとコンプライアンス管理の現実

上記で述べた多くの課題――データ侵害、コンプライアンスやセキュリティの問題――は、ほとんどの組織における運用プロセスの複雑さによってさらに深刻化しています。コミュニケーションツールの乱立と、多くの組織が手作業のプロセスを排除できない現状の中で、セキュリティやコンプライアンスの問題が見逃されるのは避けられません。

サードパーティの増加とリスク

多くの組織では、日々の業務で何百社、時には何千社ものサードパーティと大量の機密データをやり取りしています。全業界でサードパーティリスクはかつてないほど高まっており、機密コンテンツのやり取りの必要性が脅威をさらに強調しています。

2024年の調査対象者に、企業から機密コンテンツを受け取るサードパーティの人数を推定してもらったところ、3分の2(66%)が1,000人以上と回答しました(図58)。従業員数30,001人以上の大企業では、33%が5,000社以上のサードパーティとコンテンツをやり取りしています(図59)。アジア太平洋地域の組織の77%、北米では66%、EMEAでは63%が1,000社のサードパーティと機密データを交換しています(図60)。

連邦政府は、他の多くの業界セクターよりもはるかに高い割合で機密コンテンツをやり取りしています(28%が5,000社以上のサードパーティとデータを送受信)(図61)。高等教育機関も高いサードパーティデータ交換率を維持しており、47%が2,500社以上のサードパーティとやり取りしていると回答しています。

機密コンテンツが組織の外に出た場合、39%の組織が50%以下しか追跡・アクセス制御できないと回答しています。EMEA地域では、46%が機密コンテンツが外部に出ると50%以下しか追跡・制御できなくなると認めており、この課題が最も大きい地域です(図62)。最もリスクが高い業界セクターは高等教育と石油・ガスで、それぞれ69%、66%が、機密コンテンツが外部に出た際に50%以下しか追跡・制御できないと回答しています(図63)。一方で、州政府は最も良好で、38%が常に機密コンテンツの追跡・アクセス制御ができるとしています。

組織が機密コンテンツをやり取りするサードパーティの数とデータ侵害発生率を比較すると、リスクが大幅に高まることが分かります(図64)。例えば、5,000社以上のサードパーティと機密コンテンツを交換していると回答した組織の35%が、昨年10件以上のデータ侵害を経験しています。2,500~4,999社とやり取りしている組織の50%が、7件以上のデータ侵害を経験しています。訴訟費用についても同様の傾向が見られます(図65)。5,000社以上のサードパーティと機密データを交換している組織の半数が、訴訟費用に500万ドル以上を費やしています。2,500~4,999社とやり取りしている組織の44%も500万ドル以上を支出しています。

3分の2の組織が1,000社以上のサードパーティと機密コンテンツを交換。5,000社以上とやり取りしている組織の35%が昨年10件以上のデータ侵害を経験。

コミュニケーションツールの乱立とリスク

機密コンテンツの送信・共有には、メール、ファイル共有、マネージドファイル転送、SFTP、ウェブフォームなど、多数のコミュニケーションツールが存在します。リスク低減、コスト削減、運用効率向上のために、コンテンツコミュニケーションツールの統合が進んでいるようです。2023年には半数の回答者が6つ以上のコンテンツコミュニケーションツールを利用していると回答しましたが、今年は32%に減少しています(図66)。北米では5つ以上のツールを利用している割合が最も高く59%、EMEAは50%、APACは52%です(図67)。北米では77%が4つ以上のツールを使用しており、金融、法務、プロフェッショナルサービス、石油・ガス業界では80%以上に達しています(図68)。

上記のクロス分析から、データ侵害件数が多い組織ほどコミュニケーションツールの数が多いことが明らかになっています(図69)。例えば、10件以上のデータ侵害を経験した組織の32%が7つ以上のコミュニケーションツールを持ち、6つのツールを持つ組織の42%が7~9件のデータ侵害を経験しています。全回答者の平均では、10件のデータ侵害を報告したのは9%(7つ以上のツールを持つ組織の32%と比較)、7~9件のデータ侵害は23%(図6)であり、10件以上のツールを持つ組織は3.55倍、7~9件のツールを持つ組織は2倍高い割合となっています。データ侵害訴訟費用についても同様で、昨年700万ドル以上を支払ったと報告した組織の26%が7つ以上のコミュニケーションツールを持っており、これは平均(8%)の3.25倍です(図70)。

10件以上のデータ侵害を経験した組織の32%が7つ以上のコミュニケーションツールを保有。

積み上がるログの突合せ

監査報告用の機密コンテンツコミュニケーションログの突合せは、多くの回答者にとって時間のかかる作業です。48%が11件以上のログを統合しなければならず、14%は20件以上のログを統合する必要があると回答しています。どのログを突合せるべきか分からないこと自体がリスクであり、8%が自分たちが持っているログの数を把握していません(図71)。大規模組織ほど監査ログの統合数が多く、例えば従業員数30,001人以上の組織の34%が20件以上を統合しています(従業員20,001~25,000人の組織は14%、25,001~30,000人の組織は11%)(図72)。

これらのログ突合せ作業は、貴重な時間とリソースを消費します。20%の回答者が月40時間以上のスタッフ工数を要し、さらに40%が月25時間以上かかると回答しています(図73)。組織規模が大きくなるほどログ集約の難易度も上がり、従業員30,001人以上の組織の24%が月40時間以上を費やしています(図74)。さらに、従業員30,001人超の組織の9%は、ログの集約が不可能だと回答しており、重大なセキュリティ・コンプライアンスリスクが明らかになっています。業界別では(図75)、法務分野がログの突合せが不可能と認める割合が最も高く(10%)、高等教育機関はログ統合にかける時間が最も長く、30%が毎月40時間以上費やしています。

業界別では、連邦政府の回答者(34%)が20件以上のコミュニケーションチャネルログの統合が必要と回答。

ファイルサイズ制限とリスク

ファイルサイズ制限は、多くのコンテンツコミュニケーションツールが直面する課題です。従業員が業務を遂行しようとする中で、制限を回避するために消費者向けファイル共有サービスを無断で利用するケースも発生します。ルールを守るユーザーであっても、回避策によりスタッフの工数が大幅に増加することがあります。

SFTP(27%)を除き、3割以上の組織がメール、ファイル共有、マネージドファイル転送で、ファイルサイズ制限のために月50回以上回避策を実施しています(図76)。約10%は月100回以上実施しており(メール10%、ファイル共有11%、SFTP8%、マネージドファイル転送11%)、4つのコミュニケーションチャネル全体で半数以上が月25回以上の回避策を講じています。地域別では、北米がEMEAやアジア太平洋よりも頻度が高く、月100回以上の回避策実施率は各チャネルで2倍以上となっています(図77)。

3割以上の組織がメール、ファイル共有、マネージドファイル転送、SFTPで月50回のファイルサイズ回避策を実施。

機密コンテンツコミュニケーションリスクへの主な対応要因

ここまでで、多くの機密コンテンツコミュニケーションツールを持つことによる課題――セキュリティやコンプライアンスのリスク、データタイプ全体の可視性の欠如、非効率な手作業プロセス――が見えてきたことでしょう。調査参加者がこの複雑さにどう対応しているかを把握するため、機密コンテンツコミュニケーションの統合・セキュリティ強化の主な要因を2つ選んでもらいました(図78)。最も多かった回答(56%)は知的財産や企業秘密の保護で、次いで訴訟リスクの軽減(51%)、規制違反の回避(48%)が続きました。

職種によって訴訟リスクの重要度に違いが見られました(図79)。IT担当者の79%、セキュリティチームの61%が挙げた一方で、リスク・コンプライアンス担当者は39%にとどまりました。法務(75%)、石油・ガス(75%)、連邦政府(69%)の分野では、知的財産の漏洩への懸念が特に高い傾向です(図80)。

地域別でも興味深い違いが見られました(図81)。アジア太平洋地域では、ブランドへの悪影響回避が最も多く選ばれ(79%)、次いで長期化・高額な訴訟リスクの軽減(61%)でした。EMEAでは、機密IPや企業秘密の漏洩防止(62%)、長期化・高額な訴訟リスクの軽減(51%)が上位でした。北米では、業務停止や収益損失の回避(57%)、機密IPや企業秘密の漏洩防止(51%)が最も多く挙げられました。

機密コンテンツコミュニケーションの統合・セキュリティ強化の主な要因は、知的財産・企業秘密の保護(56%)、訴訟リスクの軽減(51%)、規制違反の回避(48%)。

結論

本年のSensitive Content Communications Privacy and Compliance Reportの調査結果は、組織が機密性の高いコンテンツを保護するために積極的な対策を講じる必要性が極めて重要であることを浮き彫りにしています。重要なポイントの一つは、コミュニケーションツールを単一のプラットフォームに統合することです。コンテンツコミュニケーションに使用するツールの数を減らすことで、組織はデータ侵害のリスクを大幅に低減し、業務効率を向上させることができます。実際、コミュニケーションツールが少ない組織ほど侵害件数が少なく、ツールの統合とセキュリティ強化の相関関係が示されています。

また、本レポートでは、タグ付けや分類がされていないデータに関連する重大なリスクにも言及しています。堅牢なデータタグ付けおよび分類システムを導入していない組織は、機密コンテンツに対する可視性やコントロールが不足しているため、データ侵害のリスクが高まります。データの爆発的な増加はGenAIの導入によってさらに加速しており、これらのリスクを効果的に軽減するためにも、データ分類を優先することが不可欠です。

ゼロトラストの原則や高度なセキュリティ機能の導入は、機密コンテンツコミュニケーションのセキュリティ強化に不可欠です。調査結果は、重大なセキュリティギャップと、属性ベースのアクセス制御、包括的な暗号化、リアルタイム監視、データ損失防止を含む厳格なコンテンツ定義型ゼロトラストの必要性を強調しています。また、業界や地域・国によっては、他よりも大きなギャップが存在することも明らかになりました。

さらに、サードパーティとの機密コンテンツのやり取りに伴う重大なリスクも浮き彫りになっています。回答者が機密コンテンツを送信・共有するサードパーティの数が多いほど、データ侵害や訴訟コストが増加する傾向があります。そのため、組織はサードパーティリスクを軽減するために、包括的なガバナンストラッキングとコントロール、高度なセキュリティ機能を確実に備える必要があります。

最後に、特に訴訟に関連するデータ侵害コストについても触れておく価値があります。今年の調査では、多くの組織が従来の侵害コストの見積もりには含まれない多額の法的費用を負担していることが明らかになりました。ブランドイメージの毀損、売上損失、業務の混乱はデータ侵害による影響の一部に過ぎません。コンプライアンス違反による罰金や制裁、訴訟コストの長期化は、長期にわたり影響を及ぼすことが多くあります。これにより、FedRAMPISO 27001SOC 2 Type II、NIST CSF 2.0などのセキュリティ規格に準拠した機密コンテンツコミュニケーションツールの選定・導入の重要性が強調されます。

参考文献

  1. 「2024 Data Breach Investigations Report(2024年データ侵害調査報告書)」、Verizon、2024年4月。
  2. Matt Kapko「Progress SoftwareのMOVEit問題:影響の全容を解明」、Cybersecurity Dive、2024年1月16日。
  3. Bill Toulas「Fortra、GoAnywhere MFTゼロデイ攻撃に関する調査結果を共有」、BleepingComputer、2023年4月1日。
  4. 「2024 Gartner Technology Adoption Roadmap for Larger Enterprises Survey(2024年大企業向けガートナー技術導入ロードマップ調査)」、2024年2月。
  5. Eileen Yu「従業員はリスクがあるにもかかわらず生成AIツールに機密データを入力」、ZDNet、2024年2月22日。
  6. 「2024 Global Threat Report(2024年グローバル脅威レポート)」、CrowdStrike、2024年2月。
  7. 「予算増加にもかかわらず、組織はコンプライアンスに苦戦」、Help Net Security、2024年5月24日。
  8. 「Data Protection and Privacy Legislation Worldwide(世界のデータ保護およびプライバシー法)」、国連貿易開発会議、2024年6月7日アクセス。
  9. 「U.S. State Privacy Legislation Tracker(米国州別プライバシー法追跡)」、IAPP、2024年5月28日最終更新。
  10. Martin Armstrong「EUデータ保護違反による罰金、2023年に過去最高を記録」、Statistica、2024年1月8日。
  11. 「Health Information Privacy: Enforcement Highlights(医療情報プライバシー:執行ハイライト)」、米国保健福祉省、2024年4月30日アクセス。
  12. 「2024 Data Breach Investigations Report(2024年データ侵害調査報告書)」、Verizon、2024年4月。
  13. 「2023 Data Breach Report(2023年データ侵害レポート)」、ID Theft Center、2024年1月。
  14. 「Cost of a Data Breach Report 2023(2023年データ侵害コストレポート)」、IBM Security、2023年7月。
  15. 「2023 Cost of a Data Breach Report(2023年データ侵害コストレポート)」、IBM Security、2023年7月。
  16. 「2024 Global Threat Report(2024年グローバル脅威レポート)」、CrowdStrike、2024年2月。
  17. 「2024 Data Breach Investigations Report(2024年データ侵害調査報告書)」、Verizon、2024年5月。
  18. 「Privacy in Practice 2024(プライバシー実践2024)」、ISACA、2024年1月。
  19. 「Fortinet Global Zero Trust Report、過半数の組織がゼロトラストを積極的に導入中も統合面で課題」、Fortinetプレスリリース、2023年6月20日。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約
Share
Tweet
Share
Explore Kiteworks