ベライゾン2015年度データ漏洩/侵害調査報告書より

verizon_003_R

増えるサイバー攻撃

ベライゾンは「2015年度データ漏洩/侵害調査報告書」を発表しました。日本語版は7月に公表される予定です。それによると、米国の大企業の60%が、最近発生した一連の高度なサイバー攻撃を踏まえてサイバーセキュリティ関連予算を増額すると回答しています。年々増えるセキュリティ侵害による被害を考えれば当然のことです。

verizon_002_R

PwC「激増するリスク追い付かない対策」より

PwCが9,700社を対象に「CIO Magazine」、「CSO Magazine」両誌と共同で実施しているオンライン調査の報告書「グローバル情報セキュリティ調査®2015」によると、セキュリティインシデントの発生は2014年には2013年よりも48%増加し、およそ4,300万件も発生しています。これは、一日当たり約117,500件の攻撃が行われていることになります。2009年は340万件でしたが、その後、年平均66%ずつ増加し続けてきました。但し、この数は検知数ですから、検知できていないもの、検知していても報告していないものもあるでしょうから、実際の攻撃はさらに多くなると思われます。

世界経済フォーラムの「グローバルリスク報告書2014年版」では、最も発生する可能性が高いグローバルリスクとして、①所得格差 ②異常気象 ③失業および不完全雇用 ④気候変動 ⑤サイバー攻撃と順に挙げており、サイバー攻撃は世界経済を揺るがす大きなリスクになってきています。

損失は?

ベライゾンの今年のレポートでは、クレジットカード情報、個人情報、個人の医療情報などの漏洩事故における実際の請求額などをベースに調査費用や弁護士費用なども加味した損失額を算出しています。この計算モデルでは、1000件が漏洩した場合、その損失額は約5万2000~8万7000ドル(1ドル120円換算で約627万~1000万円)、1000万件の場合は約210万~520万ドル(同 約2億5510万~6億2900万円)になります。

サイバーセキュリティインシデントによる企業の損失は年々増加しています。しかし、知的財産などの価値の算定が難しいことや、外部顧客が被る被害等の損失も含めると情報が失われた影響の評価には難しさも伴います。企業秘密や知的財産の窃取が起きた場合は、その被害は計り知れないものになってしまうかもしれません。世界銀行によれば、2013年の営業秘密の窃取による被害額は7500億ドルから2兆2000億ドルに上るのではないかと推計しています。2013年世界のGDPは74兆9000億円ですので、実に1~3%に相当します。

サイバー犯罪をおかすのは身内?(PwCの報告書から)

サイバー犯罪というとハッカーや外国の諜報機関、テロリストといったイメージでとらえられがちです。しかしPwCの報告書では、最も多いのが現従業員、ついで元従業員なのです。悪意ある行為というのは少ないのだろうと思いますが、うっかりデータを危険にさらしてしまう行為によって被害が起きてしまうわけです。とは言え、国家、犯罪組織、競合企業によるセキュリティ侵害によるインシデントの発生がないわけではありません。国家が標的にするのはガス・石油、航空・防衛、テクノロジー、通信などのようです。また、競合企業によって起こされるインシデントも増えており、特に中国の回答の半数がインシデントの発生源として競合企業を挙げています。さらに犯罪組織によるセキュリティ侵害も増加しており、クレジットカードやデビットカードのデータに加え、患者の医療データや個人情報が狙われるケースが増えているそうです。

pwc_002_R

「グローバル情報セキュリティ調査2015」より

日本も世界の傾向とよく似た傾向で被害がおきているようです。ただ、日本企業の場合、インシデントの発生要因が分からないとする回答がとびぬけて多くなっています。分からないのでは再発防止策を講じることもできません。実は、日本企業の情報セキキュリティ投資額は、世界の半分なのです。セキュリティ対策に十分投資してこなかったことが発生要因が分からない原因の一つなのかもしれません。

pwc_004

「グローバル情報セキュリティ調査2015」より

サーバー攻撃の手法

ベライゾンの報告書によると、サイバー攻撃の70パーセントはフィッシングやハッキングなどの旧来の手法であり、それを組み合わせて複雑な侵害を行っているとのことです。

 verizon_001_R

(マイナビニュース http://news.mynavi.jp/news/2015/06/11/613/ より)

報告書では上位から順に「POSへの侵入」(28.5%)、「クライムウェア」(18.8%)、「サイバースパイ活動」(18%)、「内部者による不正使用」(10.6%)、「Webアプリケーション攻撃」(9.4%)となっており、この5つで全攻撃の85%を占めます。また、攻撃者がシステム侵入に成功してからデータを盗み出すまでの時間は、24時間未満が75%でした。脆弱性を利用した攻撃は70%でした。利用された脆弱性は、何年も前に発見されたCVE(共通脆弱性識別子CVE(Common Vulnerabilities and Exposures))を悪用するエクスプロイト(プログラムのセキュリティホールを攻撃する簡易なプログラム)が97%を占め、対策を放置していたために起きた被害が多いと言えそうです。

セキュリティ担当者がすべき対策

ベライゾンの報告書では、セキュリティ担当者が実施すべき対策として、次の7つのポイントを挙げています。

① 警戒を怠らない:継続的なログ監視や変更管理など

② セキュリティ教育の徹底

③ アクセス権限の強化

④ セキュリティパッチの早期適用

⑤ 機密データの暗号化

⑥ 二要素認証の採用

⑦ 物理セキュリティの導入

 今回の調査で、「POSへの侵入」「クライムウエア」「サイバースパイ活動」「内部者による不正使用」「Webアプリケーション攻撃」の5つだけで全体の85%を占めることから、この5つに集中的にセキュリティ投資をすることでも大きな効果が期待できそうです。さらにエクスプロイトが狙う既知の10個の脆弱性が全体の97%を占めていたということから、パッチ(プログラムのバグ修正や機能変更)を当てるだけでもかなりの被害が防げるのではないでしょうか。

今、国内では標的型攻撃による国民年金機構からの情報漏洩が問題となっていますが、報告書ではフィッシングメールを開かないようにするという対策が困難であることも明らかにしています。そして、実施可能な対策として、二要素認証とWebサービスへのパッチ当てを挙げています。

PwCの「グローバル情報セキュリティ調査2015」では、内部関係者によるセキュリティインシデントの発生を防ぐために、これまで内部関係者を「従業員」としていた定義を広げることを提言しています。退職者、委託業者、さらには以前の委託業者までに範囲を広げ、不正を働くこと想定したシナリオを検証し、対策を講じるべきだとしています。さらに、情報セキュリティに責任をもつ役員を置くことも提言しています。

pwc_005「グローバル情報セキュリティ調査2015」より

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です