【33%】退職後も前職場の共有ファイルにアクセスできる、との調査結果を見て何が気になりますか?

って、気になるに決まっている。はず…と思うのですが、この脅威に対する認識と、人それぞれの感覚によって変わるのではないでしょうか?

セキュリティな立場で言えば、もちろんマズイに決まっています。しかし、それぞれの立場によっては「別に大した情報なんか入ってないから…ダイジョーブ」と、言い切ってしまう方々もいるのです(先日のブログ:うちにはセキュリティが必要な情報なんかないよ!って本当ですか?

33%が「退職後も前職場の共有ファイルなどにアクセスできる」と回答

Kasperskyは、日本を含む世界14カ国の企業に勤務する7,000人を対象に、業務で使うデジタルデータの管理に関するインターネット調査(※1)を実施した。

調査の結果から、デジタルクラッターと呼ばれる、企業内で無秩序に増大する管理されていないファイル、文書やデータの存在、およびファイル共有や共同作業向けのサービスに対するアクセス権の管理が不十分な場合、企業にリスクをもたらす可能性のあることが明らかになったという。

33%が、退職後もファイル共有や共同作業向けサービス、メールにアクセスできると回答
調査では、33%(日本は34%)の回答者が、退職した職場の共有ファイルや共同作業向けサービス、メールにいまだにアクセスできると回答。

(※)調査概要
世界14か国の企業や組織に勤務する7,000人を対象に行ったオンライン調査。対象国は、英国、米国、フランス、スペイン、ドイツ、イタリア、ブラジル、中国、メキシコ、日本、マレーシア、南アフリカ、ロシア、トルコで、各国の対象者は500人。実施時期は2018年12月から2019年1月。Kasperskyが英国の調査会社OnePoll に委託して実施。

本家オリジナルの「デジタルクラッター -職場におけるデータの溜め込みを整理する」のPDFリンク

こういうレポートがあるといいですね。サンプル数も多いし、調査内容もしっかりしているし。体感的にはもう少し低いイメージだったのですが、あくまでも感覚的なもので数値化してないから「辞めた方がファイルにアクセスしているのは、結構多いですよ!」と、説得力もエビデンスもないことしか言えませんw

このデジタルクラッターって言葉知らなかったのですが、ここでは整理されずに溜め込むとあります。っ言われても、いつかきっと使うときが来るかも知れないと「集めた資料」「手間のかかった資料」など幅が広いです。経験的には、デジタルデータに限らず思い出した時に探して実際に使える機会ってかなり低いような感じがします。ただそれが誘因となり、便利に使えたりと繋がっていくと、中々断捨離が進まないという悪循環w

で、本題に戻りますが。。。

ちょっと気になるのは、世界的に33%で、日本は34%ってところです。1%多い!とかって話ではありません。この数字をみてどう感じますか?って

1.ほぼ他国と同じレベルだか、言うほど問題ないのでは?

2.日本で33%って、多いんじゃないか?

3.バーゲンセールなら66%掛け、引き…どっちでもいいですが、結構安いですよね!

こんな感じでしょうか? 別に3番でもいいんじゃないですか?…と棒読みしてみる。

他に気になった数字は、

37%が偶然に同僚の給与などの機密情報を発見してしまった

72%の従業員が、個人を特定出来る情報や機密データの含まれた文書を職場に保存している

やはり整理せず溜め込むと、そういう偶然の機会も増える!という原因と結果そのものです。

あと、所謂バックドアのようにも見えますが、事前に仕込んだものではではなく当時関わった関係者ならば誰もが知る正門です。

誰が、どういうタイミングで、どのような情報を見て、活用できてしまうのか?

もはやロシアンルーレットです。その時点で悪意は無くとも、環境や時間が経てば状況は変わります。

・その時、それを使うかどうか?

・使える状況にあるかどうか?

コンプラ的な感じでは、

1.やっちゃダメ ← 自身のモラルって見えない糸で保たれている

2.そもそもやれない環境 ← どうやっても出来ない

3.別にやってもいいよ(大した情報ないし…

何か、危険な状況を放置している(ことを気にしてないか、ことに気づいてない)のに、使った方が悪いような、どの立場でものを言うのだろうか?と。無いものは盗りようがないという誰でもわかる物理的状況がなければ、どうやっても出来ない(はず)。

それさえ確保出来ていれば、33%は限りなくゼロに近づいて行きます。これそんなに難しいのでしょうか?

事故が起きても原因がわからない

辞めた後もアクセスできるならば、何か事故が起きても辞めた人の責任にはなりません(辞めてるし、なりようがない)

なので何か起きれば、やってない(在職中)の人が、とりあえず疑われるという犯人説が濃厚になってきます。

逆に言えば、在職中にそんなことしても、管理されてない以上は追及のしようがありません(と言っても、何かすれば大概どこかに痕跡は残るので、しないほうがいいですよ)

ギャラもらうなら、プロフェッショナルで居続ける責任がある

全体の80%が、メールやファイル、デジタル文書へのアクセス権が適切に設定されていることを保証する責任が自分にあるとは思っていない。

これとっても重要ですよ。ギャラもらっているのだから、自身には関係ないじゃありません。こういう素人っぽい意識は改めるべきことです。結局、プロっぽくない仕事が情報漏洩事故を引き起こしています。実際の事故を起こした当事者はほぼこれに近いと思いますし、その周りにいた関係者の相互牽制や抑止が多少でも働けば防げたことも多くあります。ちょっと気になったけど…別にと思ってしまった周りの関係者にも問題があったケースも多いです。こういうちょっとしたことで、未然や水際で止められるのにという思いをしています。

職場のデジタルクラッターを認識する方法

自宅の冷蔵庫の中が片づいている、または、どちらかと言えば片づいていると回答した人のうち、95%が業務で使うデータも整理出来ている、またはどちらかと言えば整理出来ていると回答

こういうことらしいです。料理をしない人はデジタルクラッターでない?という極端なイメージしかありませんw

冷蔵庫の中のものは腐ります(既に長期放置で原形をとどめてないかも(爆)が、デジタルデータの最大の強みは劣化しないことです。デジタルクラッターという立場から見れば弱点なのかも知れません。

セキュリティも地道な積み重ねの上に成り立ちますので、冷蔵庫の話は腑に落ちました。

是非、このレポート一読することをオススメします。何かのヒントを思い出せると思います。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。