ガートナージャパン、新しい時代の情報漏洩対策に不可欠な6つの要素を発表

　ガートナージャパンは、新しい時代の情報漏洩対策に不可欠な6つの要素を、10月28日〜30日に開催している「Gartner IT Symposium／Xpo」にて、10月30日に発表した。

　同社が、日本国内のセキュリティリーダーを対象に、2023年の企業における情報漏洩の発生状況について尋ねた調査によれば、サイバー攻撃による情報の漏洩が発生したと回答した割合は34％で、インサイダーによる情報の漏洩は27.7％に達していることが明らかになっている。

　今回発表された、新しい時代の情報漏洩対策に不可欠な6つの要素は以下の通り。

• 情報漏洩対策の知見
• 情報漏洩対策のフィロソフィ（コンセプト）
• 情報漏洩対策の責任の所在
• データマップの作成
• テクノロジの評価と活用
• ユーザーのリテラシ向上

　「情報漏洩対策の知見」では、国内企業の多くが境界型セキュリティ施策を取っていたため、セキュリティの知見がサイバーセキュリティに偏っていることから、公開事例に頼るだけでなく先進的な取り組みを行っている企業に自らインタビューを実施するといった、新しい情報収集方法を実践する必要性を訴えている。

　「情報漏洩対策のフィロソフィ（コンセプト）」では、「境界を作って自由にアクセス」可能な環境から、アクセスできる人および操作可能な内容を限定する「情報漏洩対策に向け過剰なアクセス権の付与をなくす」ことへ、セキュリティのフィロソフィを大転換するとともに、これを従業員が生成AIを本格利用する前に、大々的に周知することを求めた。

　「情報漏洩対策の責任の所在」では、セキュリティ部門はルール制定やテクノロジの評価に責任を持つ一方で、ビジネス上必要なデータを使う上でデータ保護／アクセス管理を行い、情報が漏洩しないようにする責任はユーザー部門にもあることを、今一度周知しておく必要があると指摘する。

　「データマップの作成」では、どのデータがそのビジネスにとって重要なのか、そのユーザーはそのデータを本当に扱う必要があるのかといった、さまざまな観点を踏まえて作成することを求めている。

　「テクノロジの評価と活用」では、テクノロジの評価時に機能面だけでなく、「ユーザーにとって使いやすいものなのか」という運用面の評価にも十分な時間を費やすことの重要性を指摘した。さらに、新しい機能に過度に依存することなく、冷静に評価するよう求めている。

　「ユーザーのリテラシ向上」では、戦略的な業務や重要データを扱うケースにおいて、ユーザーのルール遵守を促進すべく、セキュリティ部門がユーザーのデータの使い方を積極的に理解して、セキュリティのマニュアルにこれまで以上にリアリティを持たせるよう訴えた。