インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは：ガートナーが情報漏えい対策に不可欠な6つの要素を発表

ガートナージャパンは、日本国内のセキュリティリーダーを対象にした情報漏えいの発生状況に関する調査結果を示し、AI時代の情報漏えい対策に不可欠な6つの要素を発表した。

[＠IT]

　ガートナージャパンは2024年10月30日、AI（人工知能）時代の情報漏えい対策に不可欠な6つの要素を発表した。同社は、AIや生成AIの利用がビジネス環境で身近になるにつれ、企業における情報漏えいのリスクへの懸念も高まっており、セキュリティと企業競争力強化を目指すためにデータセキュリティの刷新が重要だとしている。

　同社が2024年3月に、日本国内のセキュリティリーダーを対象に実施した情報漏えいの発生状況に関する調査によると、サイバー攻撃が原因の情報漏えいを経験した企業の割合は34.0％、インサイダーが原因の情報漏えいを経験した企業は27.7％だった。さらに情報漏えい対策が十分でないため、AIなどによるデータ活用の拡大について不安に感じていると回答した企業は57.2％だった。

情報漏えいの発生状況（提供：Gartner）

AI時代の情報漏えい対策に不可欠な要素、責任の所在は？

　ガートナージャパンが挙げた、AI時代の情報漏えい対策に不可欠な要素は以下の通り。

　1つ目は「情報漏えい対策の知見」。同社は、サイバーセキュリティに詳しい担当者が必ずしもデータセキュリティに明るいわけではないという点を認識する必要があると指摘する。国内には境界型セキュリティの対策を講じていた企業が多く、データセキュリティに関する知見が乏しい。同社は、先進的に取り組んでいる企業にインタビューするなど、新しい時代の情報漏えい対策の知見を得る必要があるとしている。

　2つ目は「情報漏えい対策のフィロソフィ（コンセプト）」。同社は、「境界を作って自由にアクセス」できる環境から、アクセスできる人と操作できる内容を限定する「情報漏えい対策に向けて過剰なアクセス権の付与をなくす」ことへ、セキュリティのフィロソフィを大転換することが重要だとしている。データの保護をネットワークやシステムといった大きな単位で行うのではなく、ユーザーやデータの種類、ユーザーの作業範囲といった小さな単位で暗号化や権限付与を行うことが求められている。

　3つ目は「情報漏えい対策の責任の所在」。同社は、境界型セキュリティの時代に企業のセキュリティがインフラセキュリティに大きく依存していたことなどから、情報漏えいの責任が経営やIT／セキュリティ部門にあると誤解しているユーザーが多いと指摘する。同社は、セキュリティ部門はルール制定やテクノロジーの評価に責任を持つものの、ビジネス上必要なデータを使う上でデータ保護／アクセス管理を行い、情報が漏えいしないようにする責任はユーザー部門にもあることを周知しておく必要があるとしている。ユーザー部門も取引先や顧客の情報には責任を持っており、何かあった場合にはそれを伝える説明責任がある。

　そして残りの3要素として同社は、「データマップの作成」「テクノロジーの評価と活用」「ユーザーのリテラシー向上」を挙げた。

　ガートナージャパンのシニアディレクターアナリストを務める矢野薫氏は、「日本企業のセキュリティ部門は、インフラセキュリティに重きを置く傾向にあった。情報漏えい対策については、これまで積極的に実行してこなかったと認識しているセキュリティリーダーも多く、当社の調査でも積極的に対策を講じてこなかったことを反省していると回答した企業が過半数を占めた。一方で、情報保護の重要性について、従業員の理解をなかなか得られていないことも認識している」と述べている。