米Verizon Businessは7月、企業のデータ侵害事件の分析結果をまとめた年次報告書を公開した。【國谷武史,ITmedia】
本報告書は、同社が調査を手掛けた実際の事件と、米国土安全保障省のシークレットサービスが担当した事件のデータをベースに作成された。対象事件はのべ930件、侵害に遭ったレコードは約9億件に上る。分析結果から読み取れる傾向と対策について、調査対応チームディレクター ブライアン・サーティン氏が紹介した。
報告書で提示された全体の傾向は既報の通りだが、サーティン氏によれば、この中でアクセス権限に関する動向が注目される。例えば、インターネットの闇市場で売買される情報は、2008年ごろまでは個人のクレジットカードや銀行口座など金銭に関係するものが主流だった。しかし、2009年はWebシステムへのアクセスやリモートアクセスに関する認証情報の売買が目立つという。これらの認証情報は、詐欺やSQLインジェクションといった攻撃で盗み取られたものや、企業の関係者が不正に持ち出したものが多い。
こうした傾向からデータ侵害を狙う犯罪者は、システムの認証を強引に突破するという方法ではなく、認証情報を不正に購入して正規ユーザーになりすます方法に注目している様子が読み取れるという。認証を強引に突破すればすぐに監視システムに検知されてしまうが、正規ユーザーになりすませば、検知されずに密かにデータを盗み出せるためだ。
IDやパスワードなど認証に必要な要素がそろった情報は、闇市場で1件当たり数万ドルもの高値が付くという。これに対してクレジットカード情報などは、認証情報の数百分の1から数千分の1の値段に過ぎないが、大量に販売すれば利益になる。犯罪者は高値で買い取った認証情報を用いて、企業のデータベースに不正にログインし、大量の情報を盗み出している実態がある。
データ侵害を防ぐには、企業関係者が認証情報を悪用しないための取り組みや、悪用された事実を早期に発見することが不可欠であるという。セキュリティ意識の啓発やポリシーの順守の徹底を求める取り組みを地道に行うことが欠かせない。
これと併せて、悪用された事実を早期発見するためにアクセス権限の状態を適切に管理することが求められる。サーティン氏によれば、データ侵害を狙う不正アクセスには、正規ユーザーとは異なる特徴が必ず存在するという。
「侵害に遭った企業の多くが監視システムを導入しており、アクセスログなどに不正侵入の痕跡が残されていた。しかし事件が発覚してはじめて確認する場合が多い。日常的に監視していれば回避できた可能性が高い」(サーティン氏)
しかし、管理者が監視の重要性を意識しつつも、実際には難しいという場合が少なくない。多くの企業で情報システムの複雑性が増す一方、それを管理する人的リソースは必ずしも潤沢ではない。
この点についてサーティン氏は、重要データの所在を確実に把握して、1つの場所で一元的に管理する仕組みを構築すべきとアドバイスする。管理すべきポイントを簡素化すれば、少ないリソースでも適切に管理できるというのが同氏の見解だ。
企業で取り扱われるデータ量も増加の一途をたどり、実際にこのような仕組み作りに着手するのは容易ではない。しかし対策を放置してデータ侵害に遭えば、仕組みを構築するよりもはるかに大きなビジネス上の損失が発生する恐れもある。
報告書では、高度な対策を必要とした事件は全体の4%に過ぎず、大半の事件は基本的なセキュリティ対策を徹底していれば回避できたと結論付けている。
「セキュリティの基本を徹底すれば被害は回避可能」――Verizonの報告書
ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/