Press Release
<p>追跡できないファイルは保護できない—多くの組織が高度なMFT制御を欠き、ガバナンスの不備がセキュリティの失敗を招いています</p>
新たなKiteworksレポートが、マネージドファイル転送のセキュリティとデータガバナンスの実践における重大なギャップを明らかに
Kiteworksは、機密データの送信・共有・受信・利用のあらゆる場面でリスクを効果的に管理できるよう組織を支援しています。本日、2025年データセキュリティ&コンプライアンスリスク:年次MFT調査レポートを発表しました。本レポートでは、データガバナンスが成熟している組織ほどマネージドファイル転送(MFT)におけるセキュリティインシデントが大幅に少ない一方、多くの組織がMFT導入時に高度なデータ保護機能を欠いていることが明らかになりました。
Kiteworksのレポートによると、多くの組織が基本的なコントロールは導入しているものの、セキュアな運用と脆弱な運用を分ける高度な機能やガバナンスの基盤が不十分であることが分かりました。「機密データの交換は、もはや基本的なセキュリティだけでは不十分です。ガバナンスの成熟度と高度な脅威対策が求められます」とKiteworksのCMO、Tim Freestoneは述べています。「多くの組織はコンプライアンスのチェックリストをこなしているだけで、根本的なガバナンスが欠如しています。どこに機密ファイルが保存されているのか、先週誰がアクセスしたのか、システム間でどのように移動したのかを把握できていません。この可視性がなければ、どんな高度なセキュリティツールも高価な飾りに過ぎません。」
レポートはまた、リスク認識の危険な誤りも明らかにしています。組織はパッチ適用などの重要なセキュリティコントロールを「非常に重要」(優先度スコア3.71)と評価するにとどまり、「極めて重要」(3.05)とは見なしていませんが、実際には59%のインシデント発生率を経験しています。このような中程度のリスク姿勢はすべてのセキュリティ領域に及び、組織は脅威状況が求める緊急性よりもバランス重視のアプローチを選択しています。
高度なセキュリティギャップ:現代の攻撃が成功する理由
調査では、セキュリティの成熟度を主張する組織であっても、高度なファイルベース攻撃に対して依然として脆弱である実態が明らかになりました。ガバナンスのギャップがこの脆弱性をさらに悪化させています。多くの組織が基本的なアンチウイルスやDLPを導入していますが、これらのツールはしばしば単独で動作しています。統合されたガバナンスがなければ、組織は「いくつのファイルに機密データが含まれているか」「どのサードパーティがアクセスしたか」「このベンダーが侵害された場合のリスクは何か」といった根本的な問いに答えることができません。中には、自社のデータを扱うサプライヤーの数すら把握していない組織もあり、この「見えないリスク」の典型例となっています。
統合の失敗はさらなるリスクを生みます。MFTに対してSIEM/SOC連携がない場合、セキュリティチームはファイル転送以外の全てを監視しており、最も機密性の高いデータ移動が見落とされています。現代の攻撃者はこうした死角を突き、ファイル共有を横断して移動し、セキュリティチームがネットワーク境界を監視している間に侵入します。
新たなAI脅威もこれらの脆弱性を増幅させています。48%の組織がAI関連リスクへの対応を開始している一方で、26%はすでにAI関連のデータインシデントを経験し、30%は依然として機密ファイルに対する無制限のAI利用を許可しており、既存の脆弱なシステムに新たな攻撃経路を生み出しています。
「データは憂慮すべき傾向を示しています」とKiteworksのSVP(アメリカおよび業界マーケティング担当)Patrick Spencerは説明します。「ガバナンスが成熟している組織は、そうでない組織と比べて監査ログの有効性が大幅に向上しています。サードパーティリスク管理やセキュリティ意識も顕著に改善されています。これは単なる相関ではなく、『自社データを把握している』ことによる乗数効果です。」
ガバナンス成熟度:隠れた差別化要因
調査では、ガバナンス成熟度によってパフォーマンスに劇的な差が生じることが明らかになりました。ガバナンスが未成熟な組織は、成熟した組織に比べて暗号化の不整合が著しく多くなっています。中程度のガバナンスでも暗号化ギャップは大幅に減少し、成熟したガバナンスを持つ組織ではごく一部のケースでしか問題が発生していません。
このガバナンスの影響はすべてのセキュリティ領域に波及します。サードパーティリスク管理の成熟度は、適切なガバナンスによって劇的に向上します。インシデント対応能力やセキュリティ意識の有効性も同様に大きく改善されます。これらは単なる漸進的な改善ではなく、監査をスムーズに通過する組織と繰り返し失敗する組織の違いを説明する「変革的な飛躍」です。
業界ごとの傾向もガバナンス格差を裏付けています。金融サービス業界はバランスの取れたガバナンス実装により、インシデント発生率を低く抑えています。政府機関はその逆で、強固なポリシーフレームワークを持ちながら保存データの暗号化実装が限定的で、不正アクセス試行率が高くなっています。ヘルスケア業界は転送中の暗号化に重点を置きつつ、保存データの保護が限定的であり、ガバナンスギャップが重大な脆弱性を生む典型例です。
高度な脅威には高度なコントロールが不可欠
従来型のセキュリティアプローチは、現代のMFT脅威には通用しません。多くの組織がベンダー評価を徹底していると主張していますが、高いインシデント発生率は、チェックリスト型の評価が根本的な脆弱性を見逃していることを示しています。高度な攻撃者はファイル転送チェーンの最も弱い部分を狙い、ガバナンスの不備を突いてパートナーネットワーク内を横断的に侵害します。
調査によれば、高度なコントロールを持たない組織は連鎖的な失敗に直面しています。適切なデータ分類がなければ、適切な保護策を適用できません。統合がなければ、システム間で攻撃を相関分析できません。その結果、インシデントが侵害へ、侵害が大規模な被害へと発展します。
ガバナンスの乗数効果
成熟したデータガバナンスを持つ組織は、単にパフォーマンスが良いだけでなく、セキュリティ経済そのものを変革しています。調査では、成功を予測する5つのガバナンス能力を特定しています:
- 包括的なデータ発見と分類により、すべての機密接点を特定し、適切なコントロールを適用
- 継続的なデータフローの可視化で、ファイルの生成から廃棄までを追跡し、即時の監査対応を実現
- 動的アクセス制御により、権限を静的な役割ではなくデータ分類に紐付け
- リアルタイムのベンダーガバナンスで、パートナーのセキュリティ状況を継続的に評価
- ガバナンス指標で、インシデント発生前にコントロールの劣化を早期警告
これらの能力が組み合わさることで、組織は乗数的な改善を実現します。何を守るべきか把握しているため、暗号化は包括的になります。データフローを理解しているため、統合も機能します。成熟したガバナンスを持つ組織は、この乗数効果を発見しています。
「今後の道筋には抜本的な転換が必要です」とFreestoneは締めくくります。「ツールの購入をやめ、ガバナンスの構築を始めましょう。すべての機密ファイルがどこにあり、どう移動し、誰が触れているかを把握してください。現代の脅威に本当に対応するには、高度なコントロールを導入しましょう。セキュリティツールを統合し、死角を排除してください。ガバナンスが成熟した組織でインシデントが大幅に減少している事実が、その効果を証明しています。今日の脅威環境では、ガバナンスはコストではなく、生き残りの鍵です。」
データセキュリティ&コンプライアンスリスク:MFT調査レポートの全文はこちらからご覧いただけます。
Kiteworksについて
Kiteworksのミッションは、組織が機密データの送信、共有、受信、利用のあらゆる場面でリスクを効果的に管理できるよう支援することです。Kiteworksプラットフォームは、顧客にデータガバナンス、規制コンプライアンス、データ保護を提供するプライベートデータネットワークを提供します。このプラットフォームは、組織内外を移動する機密データを統合・追跡・制御・保護し、リスク管理を大幅に向上させ、すべての機密データ交換における規制コンプライアンスを確実にします。本社はシリコンバレーにあり、Kiteworksは1億人以上のエンドユーザーと1,500社を超えるグローバル企業および政府機関を保護しています。
メディア連絡先:
David Schutzman
PRマネージャー
David.schutzman@kiteworks.com