侵害を受けても、過半数が「漏えい件数が不明」という怖い事実ジェムアルトが「2016年 Breach Level Index」を解説

ジェムアルトは、2016年に発生した世界のデータ漏えい事件についてまとめた「2016年 Breach Level Index」に関する説明会を開催し、「漏えいは起こり得るもの」という前提に立った対策も必要と訴えた。

» 2017年06月05日 12時00分 公開
[高橋睦美@IT]

 ジェムアルトは2017年5月29日、2016年に発生し、メディアなどで報じられた世界のデータ漏えい事件についてまとめた「2016年 Breach Level Index」に関する説明会を開催した。この調査結果によると、2016年に漏えいしたデータ件数は、2015年に比べて86%増加となる約14億件に達したという。

photo 2016年は約14億件のデータが漏えいした

 Breach Level Indexは、インターネットやニュース記事などで公開されたデータ漏えい事件の情報を収集したデータベース。ジェムアルトでは漏えいしたデータの種類や件数、漏えい源などを分析、評価し、Web上でその結果を公表している。

 ジェムアルトがまとめた結果によると、2016年には1792件の事案が発生し、約14億件のデータが漏えいした。漏えいの原因として最も多かったのは「悪意のある部外者による攻撃」で、全体の68%を占めた。続いて、「不慮の事故」が19%に上った。併せてその手法は、「なりすまし」による攻撃が59%で最多となり、続けて「パスワードリスト攻撃」が多かったという。

photo ジェムアルトのアイデンティティ&データプロテクション事業本部本部長の中村久春氏

 ジェムアルトのアイデンティティ&データプロテクション事業本部本部長の中村久春氏はこうした結果を説明した上で、「実は、漏えいしたデータ件数が『不明』だったケースが52.2%に上っている。例えば、ログが残っていなければ、どのデータが、どのタイミングで、どうやって漏えいしたのかを特定するのは難しい。仮に特定できるとしても、時間がかかる。結局分からないままのことも多い」と述べた。

 さらに、「データ漏えい事案のうち、その96%はデータが暗号化されておらず、ローデータ(生データ)が漏えいしていた」事実も深刻だ。中村氏は、「データセキュリティの実現に向けて、侵害の『阻止』から『受け入れ』へという新たなマインドセットが必要。漏えいは起こり得るものとして想定し、備えなくてはならない」と指摘した。

 具体的には、「仮にデータが漏えいしても暗号化されていれば悪用が困難になり、意味がなくなるため、リスクを低減できる」(中村氏)。ファイアウォールやIDS(不正侵入検知システム)/IPS(不正侵入防御サービス)といった侵害を阻止するための対策だけでなく、侵害を受けた場合に備え、二次被害を抑えるための「暗号化」と、暗号に用いる「鍵の管理」、そして「強固な認証」と「アクセスコントロール」が重要だと訴えた。

 一方で、暗号化には「大変そう」「コストがかかる」といったイメージがあるのも事実だ。これを踏まえ、「企業ごとに、どのデータをどのレベルまで暗号化するか、利便性とのバランスを取りながら設計することが重要」と中村氏は提言。ジェムアルトでは、コストや運用の手間を省くため、クラウドを活用した暗号化サービスの提供も検討しているという。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。