侵害を受けても、過半数が「漏えい件数が不明」という怖い事実:ジェムアルトが「2016年 Breach Level Index」を解説
ジェムアルトは、2016年に発生した世界のデータ漏えい事件についてまとめた「2016年 Breach Level Index」に関する説明会を開催し、「漏えいは起こり得るもの」という前提に立った対策も必要と訴えた。
ジェムアルトは2017年5月29日、2016年に発生し、メディアなどで報じられた世界のデータ漏えい事件についてまとめた「2016年 Breach Level Index」に関する説明会を開催した。この調査結果によると、2016年に漏えいしたデータ件数は、2015年に比べて86%増加となる約14億件に達したという。
Breach Level Indexは、インターネットやニュース記事などで公開されたデータ漏えい事件の情報を収集したデータベース。ジェムアルトでは漏えいしたデータの種類や件数、漏えい源などを分析、評価し、Web上でその結果を公表している。
ジェムアルトがまとめた結果によると、2016年には1792件の事案が発生し、約14億件のデータが漏えいした。漏えいの原因として最も多かったのは「悪意のある部外者による攻撃」で、全体の68%を占めた。続いて、「不慮の事故」が19%に上った。併せてその手法は、「なりすまし」による攻撃が59%で最多となり、続けて「パスワードリスト攻撃」が多かったという。
ジェムアルトのアイデンティティ&データプロテクション事業本部本部長の中村久春氏はこうした結果を説明した上で、「実は、漏えいしたデータ件数が『不明』だったケースが52.2%に上っている。例えば、ログが残っていなければ、どのデータが、どのタイミングで、どうやって漏えいしたのかを特定するのは難しい。仮に特定できるとしても、時間がかかる。結局分からないままのことも多い」と述べた。
さらに、「データ漏えい事案のうち、その96%はデータが暗号化されておらず、ローデータ(生データ)が漏えいしていた」事実も深刻だ。中村氏は、「データセキュリティの実現に向けて、侵害の『阻止』から『受け入れ』へという新たなマインドセットが必要。漏えいは起こり得るものとして想定し、備えなくてはならない」と指摘した。
具体的には、「仮にデータが漏えいしても暗号化されていれば悪用が困難になり、意味がなくなるため、リスクを低減できる」(中村氏)。ファイアウォールやIDS(不正侵入検知システム)/IPS(不正侵入防御サービス)といった侵害を阻止するための対策だけでなく、侵害を受けた場合に備え、二次被害を抑えるための「暗号化」と、暗号に用いる「鍵の管理」、そして「強固な認証」と「アクセスコントロール」が重要だと訴えた。
一方で、暗号化には「大変そう」「コストがかかる」といったイメージがあるのも事実だ。これを踏まえ、「企業ごとに、どのデータをどのレベルまで暗号化するか、利便性とのバランスを取りながら設計することが重要」と中村氏は提言。ジェムアルトでは、コストや運用の手間を省くため、クラウドを活用した暗号化サービスの提供も検討しているという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
敵は内部にもあり! エンドポイントセキュリティの果たす役割
多層防御を構成する要素のうち、エンドユーザーが利用するPCやサーバを保護する「エンドポイントセキュリティ」の他、認証や暗号化といった基本的な対策も含めた内部対策の役割を紹介する。
SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか
PCにプリインストールされたソフトが通信に割り込み、その内容を全て見ていたかもしれない――2015年2月、レノボの「SuperFish」問題は大きな爪痕を残しました。
暗号化技術が企業を守る仕組み
企業システムにおけるセキュリティ技術の基礎を総ざらいする本連載。最終回のテーマは「暗号を利用した保護」です。情報を保護する根幹的な仕組みについて学びましょう。
情報セキュリティ人材に不可欠な「3つの素養」
セキュリティ教育に携わる筆者が、本当に必要なセキュリティ教育を解説する本連載。最終回では、筆者が考える「セキュリティ人材に必要な3ポイント」を紹介します。