ニュース
» 2015年10月01日 07時30分 UPDATE

ビッグデータ利活用と問題解決のいま:データ暗号化から考えるイノベーションとセキュリティの両立 (1/3)

世界各国でビッグデータ利活用によるイノベーションが本格化する一方、サイバー攻撃による大規模情報漏えい事案が後を絶たない。利便性と安全性を両立させる対策として注目されるデータ暗号化の動向を探る。

[笹原英司,ITmedia]

サイバー攻撃被害で高まる保存データ暗号化へのニーズ

 本連載の第16回記事および第17回記事で、米国のサイバー攻撃に起因する情報漏えい事案を取り上げた。その後も大規模な情報漏えい事案が相次ぎ発覚している。

 例えば2015年6月、米国連邦政府の人事管理局(OPM)が、外部からの不正アクセスにより、約400万人の職員および元職員の個人データが流出した可能性があると発表した(関連記事)。個人データには名前、生年月日、自宅住所、社会保障番号などが含まれている。

 同年7月には、カリフォルニア州の医療機関UCLA Health Systemsが、サイバー攻撃により、個人データ約450万件が危険に晒された可能性があると発表した(関連リリース)。個人データには名前、住所、生年月日、社会保障番号、医療データ(症状、処方薬、手順、検査結果等)などが含まれている。

csa29-0.jpg UCLA Health Systemsの報道発表

 この2つの事案に共通するのは、調査から過去に遡って不正アクセスが見つかった点と、保存データが暗号化されていなかった点だ。例えば、UCLA事案のような医療の場合、「医療保険の携行性と責任に関する法律」(通称HIPAA)で規定された、「保護対象保健情報(PHI)」に関するインシデント発覚時の監督当局(保健福祉省)への報告義務や保存データの暗号化/復号といった問題が関わってくる。

 その後9月には、ニューヨーク州の医療保険者Excellus BlueCross BlueShieldが、サイバー攻撃によって、個人データ約1050万件が危険に晒された可能性があると発表した(関連リリース)。個人データには名前、生年月日、社会保障番号、郵送先住所、電話番号、会員ID番号、金融口座情報、請求情報などが含まれている。

 米国では医療保険者もHIPAAの適用対象であり、データ暗号化は経営に関わる問題だ。同社の場合、保存データを暗号化していたが、ハッカーは暗号化を解除する権限を持った管理コントロールにアクセスしていたという。

 これら実際に起きたサイバー攻撃事案をみると、単にデータの暗号化機能を実装しただけでは不十分であり、暗号化データをやり取りする際に利用する鍵の管理や、鍵を管理する特権ユーザーのアカウント管理など、プラスアルファのセキュリティ対策も必要になることが分かる。

       1|2|3 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -