2010年は企業からのデータ流出数が大幅に減少――米調査

Verizonが毎年公表しているデータ漏えいや侵害に関する最新版の報告書では、データの流出数が過去最多の昨年から著しく減少したことが分かった。

[國谷武史，ITmedia]

　米Verizonは4月19日（現地時間）、企業のデータ侵害事件の調査結果をまとめた最新版の報告書を公開した。データの流出数が大幅に減少したが事件数は減少しておらず、基本的なセキュリティ対策を徹底することが引き続き重要だと指摘している。

　報告書は2008年から毎年公表しているもの。今回は、同社が事件のあった企業から委託を受けて実施した調査内容を中心に、米国土安全保障省シークレットサービスやオランダ警察庁国家ハイテク犯罪対策局の協力を得て、分析を行った。

　それによると、報告書の対象となった2010年の事件数は約760件で、データの流出数は約400万件だった。データの流出数は、2009年に過去最多の約1億4400万件に上ったが、2010年は大幅に減少した。規模が小さく不特定多数を狙った攻撃が事件の大多数を占めており、大規模かつ高度な手法による攻撃は3％だった。

　また部外者による攻撃が92％を占めた一方で、部内者による攻撃は前年の49％から2010年は16％に減少した。攻撃の手法では、バックドア型のウイルスやキーロガーなどを使って、認証情報やパスワードを盗み出したり、脆弱性を悪用したりするものが目立つ。ATMなどを狙った物理的な攻撃も29％を占めていた。

　こうした傾向を踏まえ、報告書ではデータ漏えいや侵害を防ぐために以下の取り組みをアドバイスしている。

• 本質的な管理に集中する――多くの企業は高度で複雑なセキュリティ管理を導入し、その結果、特定の分野で高いセキュリティを実現していても、他の分野が軽視されがちである。基本的な管理を例外なく全社的に徹底することで、効果的に脅威から身を守ることができる
• 不要なデータを削除する――不要なデータは保管せず、保管すべきデータは、それを特定して監視し、安全に保管する
• リモートアクセスサービスのセキュリティを確保する―― これらのサービスを特定のIPアドレスやネットワークに限定し、パブリックアクセスを最小限にする。自社のネットワーク内の重要な情報へのアクセスを確実に制限する
• ユーザーアカウントを監査し、特権ユーザーを監視する――社員を雇用する前にスクリーニングを行って検証する。ユーザー特権を制限し、職務の分離を行った上で信頼すること。管理者は社員に指示を出すだけでなく、セキュリティの方針と手順が守られているかを監督する必要がある
• イベントログを監視／分析する――ログに現れた明らかな問題に集中する。漏えいや侵害から発見までの時間を数週間もしくは数カ月から数日に減らす
• 物理的なセキュリティ資産を認識する――ATMやガソリンスタンドなど、支払い用のカードを差し込む装置に不正に手が加えられたり、操作されたりしていないかを細かく注意する