企業の共同作業が直面する脅威とは

Harvard Business Reviewのある記事は、共同作業について、次のように説明しています。

共同作業は、職場で大きな役割を果たしている。企業のグローバル化が進み、部門の垣根を越えて、横のつながりが増えるほど、チームワークが組織の成功の鍵となる。過去20年間で収集したデータによると、管理職と社員が共同作業に費やす時間は、50%以上も増加している。

共同作業を行う上で重要なのは、ファイル共有とモビリティです。2020年6月にICT総研が発表した日本国内の個人用のクラウドストレージ市場の調査によると、コンシューマーがパソコンやスマートフォンに保存する写真、動画、音楽などのデータ容量は増加傾向にあり、これらの保存に適したクラウドストレージサービスの市場が拡大を続けています。

ICT総研の推計では、2018年度(2019年3月末)に4,684万人だった日本国内の個人向けクラウドストレージサービスの利用者は、2022年度には5,561万人へと拡大する見込みです。さらに同調査によると、クラウドストレージを仕事で利用している人は、「データ保存容量が大きい」ことを満足している理由として挙げています。テレワークの機会が増えていることから、クラウドストレージサービスを仕事で利用するユーザーも増加傾向にあり、信頼性やセキュリティ、データ共有の重要性はさらに高まっていると言えるでしょう。

ビジネスシーンで、個人デバイスとコンシューマー向けファイル共有アプリを使用することは危険であり、職場での共同作業には、従来のセキュリティ対策では対応しきれないリスクが数多く存在します。

ファイル共有の監視漏れで起こりうる4つのデータ漏洩

業務のアウトソーシングの増加に伴い、重要なファイルを従業員同士で共有し、協力会社や従業員がリモートでアクセスし、パートナーや第三者が受け取るなど、エンタープライズのリポジトリや境界を越えて使用するケースが多くなっています。

ファイル共有の監視をしていない場合、以下のようなデータ漏洩の可能性があります。

無許可アプリの使用によるデータ漏洩

コンシューマー向けのAndroid/iOSアプリには、データ漏洩やプライバシー侵害につながるものが数多く存在します。

セキュリティ管理が不十分なパートナー企業によるデータ漏洩

多くの企業は、セキュリティ上の脆弱性のうち40%しか修復しておらず、不具合を認識しても、その修正に数カ月かかっています。

過失によるデータ漏洩

人為的なミスは、データ漏洩の最大の原因であり、Ponemon Institute社によると、従業員の61%は、安全でない方法でファイルを共有しています。具体的には、暗号化されていないメールの送信、企業ポリシーに違反した機密文書の取り扱い、許可されていない受信者へのファイル転送などが挙げられます。

悪意のある従業員によるデータ漏洩

Intel Security社の調査によると、データ漏洩の22%は、社内の悪意ある人物によって引き起こされています。悪質な行動により盗まれるデータとして最も多いのは、Microsoft Officeドキュメントです。

こうした問題を軽減する上で、ネットワークレベルのセキュリティ対策はほとんど効果がありません。ファイアウォールによって攻撃者を排除できたとしても、いったんセキュリティの境界線であるファイアウォールの中に脅威が入ってきてしまうと、ファイルを保護することは不可能です。認証と暗号化は、権限のないユーザーによる機密情報へのアクセスは阻止できますが、そのユーザーに不注意や悪意がある場合は、まったく防御できません。例えば、2021年に米Twitterにて起きた、著名人アカウントの大量乗っ取りや偽ツイート事件のように、従業員に対するソーシャルエンジニアリング攻撃は阻止できません。

すべての攻撃者の標的は保護されていないファイルリポジトリ

データ漏洩の危険性に加えて、企業のセキュリティシステムの問題点を悪用しようと企むハッカーの存在も脅威となります。サイバー攻撃は、日を追うごとに高度化、専門化、組織化が進んでおり、サイバーセキュリティの調査会社Cybersecurity Venturesによると、2031年には被害コストは2650億ドルを超えると予測されています。

また、こうした攻撃は単独犯によるものだけではなく、外国政府が支援するサイバースパイ活動の関与が疑われる攻撃も増えています。

攻撃者の動機と同様に、彼らの戦術も多種多様です。ピアフィッシングを好む者もいれば、マルウェアを使用する者、さらには、脆弱なスマートフォンを狙った標的型攻撃を行う者もいます。しかし、どの攻撃者も最終的には、企業のファイアウォールに侵入し、保護されていないファイルリポジトリにアクセスすることを目的としています。

本来、第2の防波堤としての役割を果たすファイルレベルのセキュリティ対策がなされていない場合、攻撃者は、簡単にファイルデータをダウンロードすることができ、ファイル内の情報は流出します。たとえ攻撃に気付いて、遮断したとしても、多くの重要なファイルが攻撃者の手に渡っている可能性は高いのです。

1,150万件以上の文書が窃盗され、史上最大級のデータ漏洩となった、パナマ文書の流出事件は、この一例です。攻撃発生の正確なメカニズムは不明ですが、侵入した攻撃者が2TB以上のデータをダウンロードし、それが公開されたことで多くの企業や、それらの企業の関係者である政治家、富裕層の人々の評判を損なう結果となりました。これらのファイルはその後、検索可能な大規模データベースで公開されています。