3カ月だけで2億件が盗難、データは漏えいする前提で保護すべき--セーフネット - (page 2)

吉澤亨史 山田竜司 (編集部) 2014年06月05日 12時46分

  • このエントリーをはてなブックマークに追加
  • 印刷

--BLIからどのような状況が読み取れますか。

 情報漏えい事件は急増しており、2014年の第1四半期(1~3月)だけで2億件ものデータが盗まれています。このレポートは一般に公開された情報のみを元にしていますので、実際にはこの数字よりはるかに多いでしょう。

 また、第1四半期では254件の情報漏えいが報告されていますが、このうちデータを暗号化していたのはわずか1%でした。暗号化しておけば、たとえデータを盗まれても中身を見ることができず、悪用されることがありません。

 一方で、データを保護しようにもそれがどこにあるのか分からないという現状があります。以前は企業の内部と外部との境界だけを守っていればよかったのですが、現在では重要なデータがデータセンターにあるのか、仮想化環境にあるのか、あるいはAmazon Web Services(AWS)やDropboxにあるのか分かりません。もはや境界線はないのです。

 さらに、データやアプリケーションが仮想化環境に移ってきたことで、管理者の人数が増えることも一因です。これは、重要なデータへのアクセス権限を持っている彼らが悪者になるということではありません。犯罪者が彼らを狙い、情報を盗み出そうとしているのです。


データ漏えいのソース:Malicious Outsider 悪意ある部外者 Accidental Loss 事故による紛失 Malicious Insider 悪意ある内部者 Hacktivist 政治的ハッカー State Sponsored 国家的支援による活動(Breach Level Index: Q1 2014 Data Records Lost or Stolenより )

 すでに、自分たちでコントロールできないネットワークが主流になりつつあるため、内部犯罪による脅威も大きくなっています。つまり、以前の「侵害を未然に防ぐ」という考え方から、侵害が起きることを前提にセキュアな環境にしていく考え方に変えていかなければなりません。最重要課題はデータを守ることですから、仮に盗まれたとしても使えなくするような対策が求められているのです。この「セキュアな漏えい」を、わたしたちはレベル1としています。最悪な事態はレベル10です。

 公表されない漏えい事件も把握したいのですが、漏えい事故が発生した際の報告義務は、国や市場によって違います。たとえば米国では州ごとに法律や義務が決められています。カリフォルニア州では、どんな企業であっても漏えい事故が発生したら報告しなければなりませんが、その期限は決まっていません。つまり、2年後に報告してもいいわけです。ただ、規制や法律、ガイドラインというものは事件の性格の変化で進化していくものです。残念ですが、それを実現するためには多くの企業が被害に遭うことになります。

--MITB(Man in the Browser)攻撃にどう対処していますか。

 SafeNetでは「NG-FLASHトークン」という公開鍵暗号基盤(Public Key Infrastructure:PKI)ベースの製品を提供していますが、これはトークンの中に自分のプライベートキーを安全に格納できるものです。

 たとえばデスクトップパソコンで銀行などのサイトにアクセスしたときでも、OS経由でなく、トークン経由で操作することになります。トランザクションにはプライベートキーでサインインしているため、デスクトップやOS、ウェブブラウザが攻撃されてもトランザクション自体は安全性を保てるわけです。

 また、誤りを検出するチェックサムベースでブラウザには保存されない仕組みを提供する製品もあります。このため、ブラウザが攻撃に遭ってもトランザクションはセキュアを保つことができます。このように複数の製品をを用意することで、ユーザーが住んでいる国の法律に適合した方法での対策が可能です。

--ここ数年で感じている顧客の変化はありますか。

 多くの顧客は、仮想化環境でのデータのセキュリティが担保できるのかが心配なようです。これはパブリッククラウドを念頭にした考えですが、それと同時にプライベートクラウドにおけるデータガバナンスをどう証明するかも気がかりのようです。顧客も移行期にあるわけで、データはまだまだ物理サーバにありますが、一部プライベートクラウドとパブリッククラウドを併用するようになっています。

  いわゆるハイブリッドクラウドにデータが存在することになっていますが、将来像が分からない。すべてパブリッククラウドを使うのか、あるいはハイブリッドクラウドであり続けるのかも未知数なのです。では、このような状況でどういうオペレーションをセキュリティ対策に取り、しかもデータ保護への投資が将来的に無駄にならないようにする方法を考え、迷っているように感じます。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]