OPSWATがPonemon Instituteに委託して実施した新しいレポートによると、米国企業のほぼ3分の2(61%)が過去2年間に内部関係者によるデータ漏洩被害を受けています。
被害を受けた企業では、機密性の高いデータや重要なデータが不正にアクセスされる内部インシデントが平均8件発生しています。
これらは、意図的なものと悪意のある内部活動の両方に関連しています。
組織ごとの内部インシデントの平均コストは270万ドルで、規制違反による罰金、生産性の低下、顧客データの喪失などが財務的影響として挙げられます。
本調査で対象となった米国のITおよびITセキュリティ担当者は、悪意あるまたは意図しない内部関係者によるデータ漏洩が、自社のファイルセキュリティにとって最も深刻なリスク(45%)であると回答しました。
これに続くリスクとしては、ファイルアクセスの可視性と制御(39%)、サードパーティベンダーからの悪意あるファイルやアプリケーション(33%)が挙げられました。
悪意のある内部関係者とは、従業員や契約者が雇用主からデータを故意に盗み出したり漏洩させたりするもので、破壊行為や金銭的利益を目的としています。
意図しない内部関係者とは、過失や悪意ある第三者に騙されることによって、知らず知らずのうちにデータを漏洩させてしまうスタッフを指します。例えば、機密性の高い商業データや顧客データを一般公開されているAIツールに投稿してしまうケースなどが該当します。
ファイルストレージツールが最も脆弱な環境
ファイルストレージ環境は、データにとって最大の脅威となる場所とされ、42%の回答者が挙げています。これには、SharePointやネットワーク接続ストレージ(NAS)デバイスなどのオンプレミス環境が含まれます。
次にリスクが高い環境はウェブファイルのアップロード(40%)、続いてウェブサイトやSaaSアプリ、Microsoft Teamsなどのコラボレーションプラットフォームからのファイルダウンロード(39%)が挙げられました。
Google Workspaceなどのクラウドストレージツールや、DropboxなどのSaaSアプリケーションは、それぞれ29%、23%の回答者が最もリスクの高いデータ環境のトップ3に挙げています。
3社に1社が生成AIを禁止
9月4日に公開されたOPSWATのレポートでは、組織におけるAIツールの利用状況についても分析しています。
回答者の約3分の1(29%)は、自社が生成AIツールを禁止していると回答し、19%は導入する予定が全くないと答えました。
職場での生成AI利用について正式なポリシーを採用している企業はわずか25%で、27%はその場しのぎの対応を取っています。
多くの回答者が、ファイルセキュリティ戦略におけるAIの重要性を強調しました。
3分の1(33%)は、自社がAIをファイルセキュリティ戦略の一部として組み込んでいると報告し、29%は2026年にAIを導入する計画です。
ファイルセキュリティ戦略にAIを導入済み、または導入予定の回答者のうち、59%がAIはファイルセキュリティの成熟度向上に非常に、または高度に効果的であると述べています。
さらに、29%が生成AI技術を使ったファイルのアンロックを試験運用中であるとし、18%はすでに本番環境で利用していると回答しました。
翻訳元: https://www.infosecurity-magazine.com/news/us-companies-insider-data-breaches/