不況による解雇の増加に伴って、不満な従業員による情報盗難の危険が取りざたされている。
SC Magazineの記事、IAMの重要性、パイオニアでの事例など。
Security during layoffs: Inside out - SC Magazine US
Dan Kaplan
March 05, 2009
Pioneer Electronics が北米で契約社員を解雇、そのコスト削減が不満な従業員によって帳消しにされてしまわないように気を使った。 解雇は2週間前に通知。役割ベースのID管理ツールを利用。「ログを精査して異常なことが起きてないことを確認した。」「システムやアプリケーションに対して高い権限を持つ人たちに焦点を当てた。」
内部犯行の大規模な例として、仏銀行Socie'te' Ge'ne'rale、31歳のディーラーがシステム権限を超えて不正取引、7千億円の損害。損失分の増資が必要になった。主な要因として不正なアクセスの制御ができていなかったことが指摘された。
元BPのCISOでセキュリティコンサルのポール・ドレイ氏
「誰かが退社したり、会社に不満を持つ従業員がいたりすると、情報漏洩の危険がある。」「IDとアクセスの管理が実施されていなければその他の対策は無意味だ。」
IAMは内部犯行対策のほかに、コスト指向の理由でも採用されている:コンプライアンス(罰金回避)、業務改善(ROI)
規制関係では、今までSOX、HIPAA、PCI DSSが強力なアクセス管理を要求、もうすぐ実施のマサチューセッツ州データ保護法は全国で最も厳しいものになるといわれており、アクセス制限を課す。
Symark International, an IAM solutions providerの調査(回答850件)
20件以上の迷子アカウントが存在する=27%
アクセス停止が3日いないでできない=30%
元従業員のアカウントでデータにアクセスされても検知できない=38%
情報管理会社Cyber-Ark SoftwareのIT職種の特権ユーザーに対する調査:本来見るべきでないが権限が与えられている情報を漁ったことをある=47%
IAM以外に有用な技術:暗号化、監視、アクセス制御、DLP
Network Worldの記事、解雇従業員の半数以上がデータを盗んでいる。
More than half of booted workers steal data on way out, survey finds - Network World
By Ellen Messmer , Network World , 02/23/2009
Ponemon Instituteの調査"Jobs at Risk = Data at Risk" より。
この1年以内に解雇あるいは辞職した人945人を対象にした調査。
会社のデータを盗んだ=59%
前職の機密情報を新しい職場で活用した=67%
データを持ち出した人のうち、会社に否定的な感情=61%、好意的=26%
前職の会社が誠実かつ公正か:そう思う=31%、わからない=25%、そう思わない44%
スポンサーのSymantecコメント:DLP製品ユーザーのある銀行でレイオフを発表した日、対象の人たちがいっせいにデータにアクセスしていた。
持ち出し対象で多かったのは電子メールと紙のファイル、持ち出し方は紙のほかCD、DVD、USB、個人メールアドレスへの転送。
持ち出した理由は、みんなやってる、将来役に立つ、ばれない。
元の会社のコンピューターにアクセスできる人=24%
そのうち退社して1週間以内の人=50%、1週間以上経過している人=20%
Network Worldの記事、情報漏洩のコストが増加している。
Data-breach costs rising, study finds - Network World By Ellen Messmer , Network World , 02/02/2009
2008年に情報漏洩を経験した43社対象の調査、Ponemon Institute。
漏洩事故あたりの関連コスト 2006年=$4,7M、2007年=$6.3M、2008年=$6.6M
漏洩レコード1件当たり:2008年=$202、前年比2.5%増。
ちなみに国内では2007年個人情報漏洩インシデントにおける、一人当たり平均想定損害賠償額 = 3万9,017円 (NPO 日本ネットワークセキュリティ協会、2007年度 情報セキュリティインシデント調査報告書)
業種により漏洩事故の影響が違う。金融と医療では、漏洩被害者が利用をやめるケースが多い。平均=3.6%、医療=6.5%、金融=5.5%
レコードあたりコストでは、医療で$282、流通では$131
Leave a comment