Enterprise Watch
最新ニュース

「87%の情報漏えいが簡単な対策で回避できるはずだった」-米Verizon

500件の漏えい事例から分析

セキュリティソリューション リサーチ&インテリジェンス バイスプレジデントのDr. Peter Tippett氏
 米Verizon Business(Verizon)は6月11日、「2008 データ漏えい/侵害調査研究報告書」を発表した。2004年から2007年にかけて、実際に発生した500件強のデータ漏えい事件・事故を対象に状況を詳細に分析したもので、新聞にも載った大規模な漏えい事件も3分の1をカバーしているという。

 同報告書では、「データ漏えい侵害のうち87%は簡単なセキュリティ対策で回避可能だった」と指摘している。その詳細な状況について、調査研究を統括するセキュリティソリューション リサーチ&インテリジェンス バイスプレジデントのDr. Peter Tippett氏に話を聞いた。

 なお調査対象は小売業(35%)、飲食業(20%)、金融(14%)、テクノロジーサービス(13%)、製造(5%)と幅広い。今回は実際にデータ漏えいが発生した企業を対象としているため、ここに挙げた数字はそのままデータ漏えいの業種別割合と見ることができる。


多いのは内部犯行? それとも外部犯行?

漏えいの原因。外部犯行が73%
 データ漏えいの原因としては、外部犯行によるものが73%、内部犯行によるものが18%、パートナーネットワーク経由によるものが39%だった。他社が行う同様の調査では、最近の傾向として、内部犯行が大半とするものが多かった。サイボウズ・メディアアンドテクノロジーが4月30日に発表した「日本情報漏えい年鑑2008」でも、内部犯行による漏えいが73%とされていた。

 今回の結果は、外部犯行が73%とまったく逆の結果となっているのが特筆点。外部犯行として2007年から急増している、SQLインジェクションによるWebサイト改ざん事件が底上げしたのかとも思うが、同氏は「今回の調査はデータ漏えいの実例のみをサンプルとしているため、Webサイトを改ざんしてウイルスをダウンロードさせるだけの一連のSQLインジェクション事件は含んでいない」と否定。他社データとの相違については、「当社の調査が実例を基にしたものであるのに対し、ほかの調査はアンケートを基にしたものがほとんど。そのため実態とはなれた結果がでているのでは」としている。

 ただし、外部犯行による漏えいは件数は多いものの、1件あたりの流出情報量が少ないためインパクトは少ないという。それよりも危険なのが、パートナー経由での漏えいだ。2006年から2007年にかけて、このケースによる漏えいが増加。流出情報量もそこそこ多いため、結果として外部犯行や内部犯行よりも、件数と流出情報量を掛け合わせて算出されるリスク値は高くなっているというのだ。

 この理由については、「昨今、Extended Enterpriseによるパートナー連携が広まっている。1つの案件に数社がかかわり、情報が共有される。さらにパートナーに特権レベルのデータアクセス権限を与えたまま放置するケースも多く、こうした背景が、パートナー経由の漏えいを増加させる要因となっている」としている。


ポリシーを実践することが肝要

 漏えいの手段・手口としては、エラーによるものが62%、ハッキングによるものが59%、不正コードによるものが31%、誤用・乱用によるものが22%、物理的手段によるものが15%、詐欺によるものが10%といった結果になった。全部足すと100%を超えるのは、個々の手段・手口が組み合わされているためとのこと。

 このうち最多のエラーによる漏えいに着目すると、社内ポリシーがあったのにもかかわらず、実践していなかったため漏えいしてしまったケースが最多で79%。「きちんと社内ポリシーを順守しているだけで漏えいは免れたはずで、単純なミスといえる」とした。

 ハッキングによる漏えいに着目すると、アプリケーションレイヤからの攻撃が最多で39%。「特にWebアプリが標的となっており、クロスサイトスクリプティングやSQLインジェクション、アプリケーションバッファオーバーフローなどが、さまざまな手法と組み合わされて利用されている。攻撃が段階化していることを示しているが、これはWebアプリに限ったことではなく、ほとんどの攻撃に関していえること。守る側としては、どこかのステップで攻撃を断ち切る必要がある」とした。

 不正コードによる漏えいでは、スニファーやスキャナーと呼ばれるツールをシステムに埋め込まれるケースが58%を超えていた。Webブラウザの脆弱性は「心配していたほど多くなく、全攻撃の3%くらいだった」という。また、ノートPCやUSBメモリの紛失・盗難による漏えいも意外に少なく、全体の1%に満たなかった。

 なお、漏えいしたデータで多かったのは、PIN(個人識別情報)が32%、クレジットカード情報が84%。いずれも金銭につながる情報で、犯罪の組織化・プロ化をまた1つ裏付ける結果となった。


エラーによる漏えいの内訳 ハッキングによる漏えいの内訳 不正コードによる漏えいの内訳

大半の漏えいが手ごろな対策で回避できた

攻撃、発見、修正にかかるそれぞれの平均時間。Tippett氏は遅すぎると指摘

75%は第三者によって発見されている
 次に時系列の分析では、攻撃されてから発見するまでに、63%以上のケースで月単位の時間がかかっていた。さらに発見から修正するまでに、48%以上が週単位の時間をかけていた。同氏は「想像以上に時間がかかりすぎている」と指摘。「攻撃への効果的な対処、漏えい発覚時の手続き、証拠集めの準備、漏えいしたポイントの凍結、第三者機関との調整法などを詳述したインシデント対応計画書を作成すべき。さらに、漏えいの疑似ケースを設定し、定期的に対応の事前訓練を行っておくこと。経験を重ねることで、対応プランをより詳細に吟味することとができる」と提言した。

 発見経緯としては、第三者による報告によるものが75%。さらに、システムの不具合などから偶然発見できたケースが18%を占め、発見すべき担当者が能動的に発見できたケースはわずか7%だった。

 「自ら発見できないのは、データの管理が不十分だから。データの存在は知っていたが、まさかこんなところに保管されているなんて、というケースがあまりに多かった。重要データを特定し、しかるべきところに保管した上で、追跡・評価することが極めて重要。また82%のケースでは、ログさえあれば攻撃の兆候を事前に見つけることができた。ログ管理、アラートの仕組み、そうした簡単な対策だけでもだいぶ対応できる。実際、87%のケースが手ごろなセキュリティ対策で回避可能だったのだから」とした。



URL
  ベライゾンジャパン合同会社
  http://www.verizonbusiness.com/jp/

関連記事
  ・ 「日本情報漏えい年鑑2008」が公開、内部犯行による漏えいが73%(2008/04/30)


( 川島 弘之 )
2008/07/04 13:25

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.