＜ニュースハイライト＞

・侵入経路の多くはデータベース漏えい、

　クラウドアプリケーション、USBドライブ

・データ漏えいの約4分の3が公表を要するため、

　ブランドイメージ損傷の恐れ

・IT担当者の 81%がCASBとDLPのポリシーと

　管理コンソールを分けていると回答

・個人情報と結びつくペイメントカードデータよりも、

　知的財産が窃盗犯の最大の標的に

デバイスからクラウドまでを保護するサイバーセキュリティ企業である

米国マカフィー（McAfee LLC、本社：米国カリフォルニア州）は、

データ漏えいの実態と動向についてまとめた調査レポート

「Grand Theft Data II - The Drivers and Changing State of Data Breaches」を発表しました。

同レポートでは、サイバー犯罪や脅威に対する対策は

向上しているものの、IT セキュリティ担当者の61%がデータ漏えいを

経験したと回答しており、データ漏えいを完全に防御することに

苦戦を強いられていることが明らかになりました。

さらに、サイバー犯罪者は知的財産を標的として

執拗な攻撃を仕掛けるようになったため、データ漏えいは

さらに深刻な問題になっており、会社のブランドイメージや

金銭的ダメージへのリスクが増大しています。

マカフィーの調査結果から、将来的にデータ漏えいのリスクを

低減するには、包括的なセキュリティソリューションと

社員トレーニング、そして企業全体のセキュリティ意識向上を含む

サイバーセキュリティの戦略が必要であることが明らかになりました。

マカフィーのバイスプレジデント兼チーフテクニカルストラテジストの

キャンディス・ウォーリー（Candace Worley）は次のように述べています。

「脅威はこれからもますます巧妙化していくでしょう。

企業全体にセキュリティ意識を確立し、ITチームだけでなく

全社員がセキュリティへの責任を担っていると理解させ、

セキュリティ対策を強化する必要があります。

脅威に打ち勝つためには、企業がセキュリティソリューションを

利用するだけでなく、適切なセキュリティ管理を実施するなど、

より包括的なアプローチを取ることが重要なのです」

マカフィーのレポート「Grand Theft Data II - The Drivers and Changing State of Data Breaches」 の主なポイントは、以下のとおりです。

●攻撃者はさらに狡猾に

最近のデータ窃盗は単一な手法ではなく、多様な手法により

行われています。データ窃盗のための侵入経路として最も多いのは、

データベース漏えい、クラウドアプリケーションおよびUSBドライブです。

●知的財産が標的に

回答者の43％は、 個人情報と知的財産が

最もダメージを与える可能性があるデータカテゴリと回答しました。

特に、個人情報はヨーロッパで最も懸念されており（49％）、

おそらく一般データ保護規則（GDPR）の施行が要因と考えられます。

アジア太平洋諸国では、知的財産の盗難が

個人情報よりも大きな関心事（51％）となっています

●漏えいの発生原因

回答者の52％が、データ漏洩の最大の原因はITであると主張し、

続いて、事業運営（29％）が挙げられています。財務（12％）および

法務（6％）などの厳しく規制された内部部署は、安全です。

●個別管理による弊害

回答者の81％が、CASBとDLPに別々のポリシーおよび管理コンソールを

使用していると回答しています。引き続き、それぞれ別途で

運用していくため、検知と修復に遅れが生じています。

●責任の取り方

アカウンタビリティについて、IT担当者の55％が

深刻なデータ漏えいの際には経営陣が解任されるべきだとしています。

一方、61％が自分達に対しては、経営陣はもっと寛容な

セキュリティポリシーを採用して欲しいと期待しています。

●将来に備えて

IT 担当者の約3分の2が、過去12ヶ月の間に

DLP、 CASB およびエンドポイントでの検知ソリューションを

追加購入するなどの対処を行なっています。

彼らはこのようなシステムがあらかじめインストールされていたら、

過去のデータ漏えいの65～80％はおそらく防止できただろうと考えています。

サイバー犯罪者は個人情報や知的財産を狙って様々な攻撃方法を

用いるようになってきているため、より危険になっています。

また、データ漏えい発生の際にその事実を公表せざるを

得なくなっていることから、 IT セキュリティ担当者は外部からの

脅威によってネットワークが破壊されることを恐れています。

データ漏えいを公表することは、財政面のダメージだけでなく、

ブランドイメージやレピュテーション（評判）の損傷につながります。

＜参考情報＞

・レポート（英語）

https://www.mcafee.com/enterprise/en-us/assets/reports/restricted/rp-data-exfiltration-2.pdf

・エグゼクティブサマリー（英語）

https://www.mcafee.com/enterprise/en-us/assets/executive-summaries/es-data-exfiltration-2.pdf

・インフォグラフィック（英語）

https://www.mcafee.com/enterprise/en-us/assets/infographics/infographic-data-exfiltration-2.pdf

・McAfee MVISION Cloud

https://www.mcafee.com/enterprise/ja-jp/products/mvision-cloud.html

・McAfee Data Protection

https://www.mcafee.com/enterprise/ja-jp/products/data-protection-products.html

・McAfee Database Security

https://www.mcafee.com/enterprise/ja-jp/products/database-security-products.html

・McAfee MVISION EDR

https://www.mcafee.com/enterprise/ja-jp/products/mvision-edr.html

・McAfee Secure Web Gateway

https://www.mcafee.com/enterprise/ja-jp/products/web-gateway.html

＜調査方法＞

この調査はマカフィーの委託を受け MSI-ACI Europe*1が実施しました。

調査対象者は深刻なデータ漏えいのインシデントを経験したことのある

IT担当者に限定しています。データは2018年12月12日～31日の間に

オンラインでのインタビューを通じて収集されました。

また、調査対象は千名以上の従業員を有する企業の中から、

企業レベル（1,000～5,000人）とエンタープライズレベル（5,000人以上）の半々としました。

結果として、オーストラリア、カナダ、フランス、ドイツ、

インド、シンガポール、米国、イギリスの様々な業界の

グローバル企業が本調査対象になっています。

*1 http://site.msi-aci.com/

■マカフィーについて

マカフィーはデバイスからクラウドまでを保護する

サイバーセキュリティ企業です。

業界、製品、組織、そして個人の垣根を越えて共に力を合わせることで

実現するより安全な世界を目指し、マカフィーは企業、

そして個人向けのセキュリティ ソリューションを提供しています。

詳細は https://www.mcafee.com/ja-jp/ をご覧ください。

* McAfee、McAfeeのロゴは、

　米国およびその他の国におけるMcAfee, LLCの商標です。

* その他の製品名やブランドは、該当各社の商標です。