企業の情報漏えいがなくならない理由--その原因と対策は

Steve Wilson (Special to ZDNET.com) 翻訳校正: 川村インターナショナル

2015-05-19 06:15

 米国の悪名高い銀行強盗だったWillie Suttonは、なぜ銀行強盗をするのかと聞かれて、「そこに金があるからだ」と答えた。データ漏えいも同じことが言える。大規模なデータベースは、データを欲しがる人々の標的になる。それだけのことだ。

 われわれが理解しなければならないのは、データ漏えいにもその原因にもさまざまな種類があることだ。大規模なデータ漏えいの大半は明らかに金融犯罪が原因であり、この場合に攻撃者が手に入れるのは大抵、クレジットカード情報だ。データ漏えいはクレジットカード犯罪の大半の原因になっている。統制された犯罪集団は、個人のコンピュータや、セキュリティの十分でないウェブサイトからクレジットカードの番号を1つずつ盗んだりはしない(そして、ユーザーに月1回パスワードを変更し、ブラウザのセキュリティを確認するように、という一般的なアドバイスをするのは良いが、それによって大規模なクレジットカード詐欺を防げると考えてはいけない)。

 エンドユーザーのセキュリティを責めるよりも、本当は企業のITへの非難を強めるべきだ。大規模な事業者(駐車場チェーンの運営会社など、ごく普通の事業も含む)が保有する個人データには、現在では数億ドルもの価値がある。これだけの価値を現金か金塊の形で保有するとしたら、文字通り、米軍基地フォートノックスの金保管庫並みのセキュリティを張り巡らす必要があるだろう。それは言葉通りの意味だ。しかし、最大手の企業でさえ、セキュリティにどれだけの投資をしているだろうか。そしてその投資で、どれだけの効果を上げているだろうか。

 現在の標準となっているITセキュリティをどれだけ投入しても、数十億ドルの価値のある資産への攻撃を防げないというのが厳しい現実である。単純な経済性の問題がわれわれを阻んでいる。一部の大企業がまだデータ漏えいの被害に遭っていないのは、きちんとした対策のおかげというよりも、運の問題だというのが本当のところだろう(そして、被害に遭っていないというのは、われわれが知る限りの話にすぎない)。

 組織犯罪は、本当に組織化されている。欲しいのがクレジットカード情報なら、彼らは決済処理業者や大規模小売業者の巨大データストアを狙う。こうした攻撃の精巧さは、セキュリティの専門家でさえ驚くほどだ。例えば、TargetのPOS端末への攻撃は、「起こりようがない」と考えられていたものだった。

 その他の類のデータ漏えい犯罪としては、2014年に著名人の写真が「iCloud」から流出した時のような不正行為やハクティビズムのほか、ソニーへの攻撃のような、政治的攻撃またはサイバーテロリストによる攻撃がある。

 IDの窃盗者が現在、より複雑な形の犯罪を引き起こすために健康データを狙うようになっていることを示す兆候がいくつかある。ID窃盗者は、クレジットカード番号を盗んでそれを悪用するのではなく、患者記録のような、より詳しく幅広い記録を用い、医療制度の負担者に対する詐欺を行ったり、偽造口座を作成したりして、それらを複雑な詐欺事件にまで発展させている。最近発生した保険会社Anthemのデータベース漏えい事件では、8000万人分という大量の個人記録が被害を受けた。こうした詳細情報が、IDの闇市場にどのようにして現れてくるかはまだ分かっていない。

 漏えいした個人データが入手しやすいことは、アイデンティティとアクセス管理(IDAM)のイノベーションを推進する1つの要因にもなっている。最終的には、次世代のIDAMが盗まれたデータの価値を下げるようになるが、当面は、大規模な顧客データセットを保有するあらゆる企業は引き続き、ID窃盗の主な標的とされるだろう。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]