編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

企業の情報漏えいがなくならない理由--その原因と対策は

Steve Wilson (Special to ZDNet.com) 翻訳校正: 川村インターナショナル

2015-05-19 06:15

 米国の悪名高い銀行強盗だったWillie Suttonは、なぜ銀行強盗をするのかと聞かれて、「そこに金があるからだ」と答えた。データ漏えいも同じことが言える。大規模なデータベースは、データを欲しがる人々の標的になる。それだけのことだ。

 われわれが理解しなければならないのは、データ漏えいにもその原因にもさまざまな種類があることだ。大規模なデータ漏えいの大半は明らかに金融犯罪が原因であり、この場合に攻撃者が手に入れるのは大抵、クレジットカード情報だ。データ漏えいはクレジットカード犯罪の大半の原因になっている。統制された犯罪集団は、個人のコンピュータや、セキュリティの十分でないウェブサイトからクレジットカードの番号を1つずつ盗んだりはしない(そして、ユーザーに月1回パスワードを変更し、ブラウザのセキュリティを確認するように、という一般的なアドバイスをするのは良いが、それによって大規模なクレジットカード詐欺を防げると考えてはいけない)。

 エンドユーザーのセキュリティを責めるよりも、本当は企業のITへの非難を強めるべきだ。大規模な事業者(駐車場チェーンの運営会社など、ごく普通の事業も含む)が保有する個人データには、現在では数億ドルもの価値がある。これだけの価値を現金か金塊の形で保有するとしたら、文字通り、米軍基地フォートノックスの金保管庫並みのセキュリティを張り巡らす必要があるだろう。それは言葉通りの意味だ。しかし、最大手の企業でさえ、セキュリティにどれだけの投資をしているだろうか。そしてその投資で、どれだけの効果を上げているだろうか。

 現在の標準となっているITセキュリティをどれだけ投入しても、数十億ドルの価値のある資産への攻撃を防げないというのが厳しい現実である。単純な経済性の問題がわれわれを阻んでいる。一部の大企業がまだデータ漏えいの被害に遭っていないのは、きちんとした対策のおかげというよりも、運の問題だというのが本当のところだろう(そして、被害に遭っていないというのは、われわれが知る限りの話にすぎない)。

 組織犯罪は、本当に組織化されている。欲しいのがクレジットカード情報なら、彼らは決済処理業者や大規模小売業者の巨大データストアを狙う。こうした攻撃の精巧さは、セキュリティの専門家でさえ驚くほどだ。例えば、TargetのPOS端末への攻撃は、「起こりようがない」と考えられていたものだった。

 その他の類のデータ漏えい犯罪としては、2014年に著名人の写真が「iCloud」から流出した時のような不正行為やハクティビズムのほか、ソニーへの攻撃のような、政治的攻撃またはサイバーテロリストによる攻撃がある。

 IDの窃盗者が現在、より複雑な形の犯罪を引き起こすために健康データを狙うようになっていることを示す兆候がいくつかある。ID窃盗者は、クレジットカード番号を盗んでそれを悪用するのではなく、患者記録のような、より詳しく幅広い記録を用い、医療制度の負担者に対する詐欺を行ったり、偽造口座を作成したりして、それらを複雑な詐欺事件にまで発展させている。最近発生した保険会社Anthemのデータベース漏えい事件では、8000万人分という大量の個人記録が被害を受けた。こうした詳細情報が、IDの闇市場にどのようにして現れてくるかはまだ分かっていない。

 漏えいした個人データが入手しやすいことは、アイデンティティとアクセス管理(IDAM)のイノベーションを推進する1つの要因にもなっている。最終的には、次世代のIDAMが盗まれたデータの価値を下げるようになるが、当面は、大規模な顧客データセットを保有するあらゆる企業は引き続き、ID窃盗の主な標的とされるだろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]