【1,019位經營者與IT主管調查】入職教育防不勝防——離職人員竊取機密風險，近8成企業警戒，但當日完成帳號刪除與權限變更的僅2成！？

ISO Pro公司（總部：東京都新宿區，代表取締役：米田 泰三）針對企業經營者、管理層及資訊系統部門人員，進行了關於「離職人員竊取機密資訊、非法存取風險與組織資安體制」的實態調查。在企業資安防護中，員工教育固然不可或缺，但其落實程度仍面臨挑戰。今年3月進行的調查顯示，約6成員工即便接受過入職資安教育，也僅是「模糊理解」，更有約2成會「自行解決」資安疏失，這些隱藏的組織風險已浮出水面。在「入口（入職）」資安防護尚有改進空間的同時，企業不可忽視的另一重大威脅是「出口（離職）」的資安防護。在人才流動頻繁的現代，除了外部網路攻擊外，離職人員帶走客戶名單或技術數據的「內部舞弊」風險，已成為企業的重大威脅。在實際現場中，離職時的帳號管理與個人裝置（BYOD）數據清除等「出口」對策，究竟落實到什麼程度？因此，經營ISO認證取得與營運支援網站「ISO Pro」的ISO Pro公司，針對企業經營者與資訊部門人員進行了實態調查。（中略：調查概要與詳細統計數據請參閱原文）約8成企業對離職時的「機密資訊竊取」風險感到警戒。當被問及「對於員工離職伴隨的機密資訊竊取或非法存取，作為影響業務的威脅，警戒程度為何」時，約8成受訪者表示「非常警戒（35.4％）」或「一定程度警戒（47.1％）」。這顯示許多人將離職人員導致的資訊外洩視為嚴重威脅。隨著數位化進程加快，存取客戶資訊與內部數據的環境變得便利，這被認為是危機感升高的主因。此外，內部舞弊導致資訊外洩的新聞增加，也可能加劇了管理層與系統部門的警戒。關於具體擔憂的資訊流出風險，受訪者最擔心的是「客戶資訊或業務名單被帶走（58.4％）」，其次是「設計數據或公司技術外流（54.3％）」及「因未刪除離職人員帳號導致的非法存取（45.8％）」。直接關係到企業競爭力與信用的數據外流佔據了前幾名。關於實際發生的損害，當被問及「過去是否發生過離職人員竊取機密或因帳號未刪除導致的非法存取」時，15.4％表示「確實發生過損害」，39.5％表示「雖無損害，但發生過未遂或可疑事件（近乎事故）」。兩者合計超過半數，顯示離職伴隨的資安問題已是切身之痛。具體案例包括：未清除數據即變賣公司配發手機、試圖複製員工及合作夥伴個資、利用重要客戶資訊在下一份工作中攬客等。雖然部分案例透過資安軟體防堵，但結果顯示，僅依賴個人道德是不夠的，導入系統控制與監控工具至關重要。僅約2成企業在離職當日完成帳號刪除。關於帳號權限變更的時機，僅22.1％在離職當日完成。約2成企業需要數週至一個月，這段期間成為非法存取的風險窗口。關於BYOD，對策分歧嚴重，僅20.2％在離職時實施帳號停用與權限刪除。受訪者認為當前的主要課題為「過度依賴個人道德（24.8％）」與「手動管理容易遺漏（24.5％）」。為解決此問題，約8成受訪者認為取得ISO27001等第三方認證有效，因為這有助於標準化規則、程序與風險評估，擺脫對個人經驗的依賴。總結而言，標準化組織規則與體制，是應對離職資訊外洩風險的當務之急。