企業の情報漏えいがなくならない理由--その原因と対策は

Steve Wilson (Special to ZDNet.com) 翻訳校正: 川村インターナショナル 2015年05月19日 06時15分

  • このエントリーをはてなブックマークに追加

 米国の悪名高い銀行強盗だったWillie Suttonは、なぜ銀行強盗をするのかと聞かれて、「そこに金があるからだ」と答えた。データ漏えいも同じことが言える。大規模なデータベースは、データを欲しがる人々の標的になる。それだけのことだ。

 われわれが理解しなければならないのは、データ漏えいにもその原因にもさまざまな種類があることだ。大規模なデータ漏えいの大半は明らかに金融犯罪が原因であり、この場合に攻撃者が手に入れるのは大抵、クレジットカード情報だ。データ漏えいはクレジットカード犯罪の大半の原因になっている。統制された犯罪集団は、個人のコンピュータや、セキュリティの十分でないウェブサイトからクレジットカードの番号を1つずつ盗んだりはしない(そして、ユーザーに月1回パスワードを変更し、ブラウザのセキュリティを確認するように、という一般的なアドバイスをするのは良いが、それによって大規模なクレジットカード詐欺を防げると考えてはいけない)。

 エンドユーザーのセキュリティを責めるよりも、本当は企業のITへの非難を強めるべきだ。大規模な事業者(駐車場チェーンの運営会社など、ごく普通の事業も含む)が保有する個人データには、現在では数億ドルもの価値がある。これだけの価値を現金か金塊の形で保有するとしたら、文字通り、米軍基地フォートノックスの金保管庫並みのセキュリティを張り巡らす必要があるだろう。それは言葉通りの意味だ。しかし、最大手の企業でさえ、セキュリティにどれだけの投資をしているだろうか。そしてその投資で、どれだけの効果を上げているだろうか。

 現在の標準となっているITセキュリティをどれだけ投入しても、数十億ドルの価値のある資産への攻撃を防げないというのが厳しい現実である。単純な経済性の問題がわれわれを阻んでいる。一部の大企業がまだデータ漏えいの被害に遭っていないのは、きちんとした対策のおかげというよりも、運の問題だというのが本当のところだろう(そして、被害に遭っていないというのは、われわれが知る限りの話にすぎない)。

 組織犯罪は、本当に組織化されている。欲しいのがクレジットカード情報なら、彼らは決済処理業者や大規模小売業者の巨大データストアを狙う。こうした攻撃の精巧さは、セキュリティの専門家でさえ驚くほどだ。例えば、TargetのPOS端末への攻撃は、「起こりようがない」と考えられていたものだった。

 その他の類のデータ漏えい犯罪としては、2014年に著名人の写真が「iCloud」から流出した時のような不正行為やハクティビズムのほか、ソニーへの攻撃のような、政治的攻撃またはサイバーテロリストによる攻撃がある。

 IDの窃盗者が現在、より複雑な形の犯罪を引き起こすために健康データを狙うようになっていることを示す兆候がいくつかある。ID窃盗者は、クレジットカード番号を盗んでそれを悪用するのではなく、患者記録のような、より詳しく幅広い記録を用い、医療制度の負担者に対する詐欺を行ったり、偽造口座を作成したりして、それらを複雑な詐欺事件にまで発展させている。最近発生した保険会社Anthemのデータベース漏えい事件では、8000万人分という大量の個人記録が被害を受けた。こうした詳細情報が、IDの闇市場にどのようにして現れてくるかはまだ分かっていない。

 漏えいした個人データが入手しやすいことは、アイデンティティとアクセス管理(IDAM)のイノベーションを推進する1つの要因にもなっている。最終的には、次世代のIDAMが盗まれたデータの価値を下げるようになるが、当面は、大規模な顧客データセットを保有するあらゆる企業は引き続き、ID窃盗の主な標的とされるだろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]