セキュリティ管理の基本を徹底すべし、情報漏えい統計に見るデータ侵害(1/2 ページ)

米Verizon Businessが担当した情報漏えい事件の調査では、システムの脆弱性解消やパートナー企業に対するセキュリティ管理の徹底がデータ侵害の予防につながることが分かった。

» 2008年11月10日 08時00分 公開
[國谷武史,ITmedia]

 米Verizon Businessは、企業のデータ漏えいや侵害に関する事件の分析結果を取りまとめたリポートを6月に公開した。リポートは、2007年までの過去4年間に同社が担当した事件調査をベースにしたもの。データの漏えいや侵害が発生状況や主要業種における一定の傾向、また、企業が実施すべき対策方法が浮き彫りになった。

 リポートの対象期間中に漏えいしたデータ件数は約2億3000万件。種類別では、「クレジットカード情報」(84%)、「個人識別情報」(32%)、「非機密データ」(16%)、「認証情報」(15%)など。一方、「知的財産」(8%)や「企業財務情報」(5%)と少なかった。

 データの種類別では、「オンラインデータ」(82%)、「オフラインデータ」(7%)、「ネットワークとデバイス」(7%)、「エンドユーザーデバイス」(4%)だった。

 ベライゾン ビジネスでセキュリティサービス担当する五十嵐久理氏は、「簡単に悪用、換金ができるクレジットカード情報が狙われたケースがほとんど」と話す。

情報管理が難しい環境で

 データ漏えい/侵害の発生割合を従業員規模別で見ると、トップは「11〜100人」(30%)で、以下「1001〜1万人」(26%)、「101〜1000人」(22%)、「1万〜10万人」(14%)となり、従業員数1000人以下の企業での発生割合が全体の過半数以上を占めた。

 原因別(重複ケースもあり、合計値は100%にはならない)では、ハッカーなどの「企業外」が73%、社員などの「企業内」が18%、業務委託先などのパートナーが39%。漏えいしたデータ件数の平均は、企業外が3万件、企業内が37万5000件、パートナーが18万7500件。

 同社では、原因別割合と漏えい件数を掛け合わせた独自の影響度を試算した。その結果、リスク値は企業外が2万1900、企業外が6万7500、パートナーが7万3125となり、パートナーによるデータ漏えい/侵害の影響度が最も高い結果となった。

 なお、パートナーによる原因の内訳は、「パートナー側にある資産(システム)や通信経路」が57%、「不明」が21%、「IT管理者」が16%だった。

既知の脆弱性や通信経路を標的に

 データ漏えい/侵害の原因を脅威の種類別でみると、「過失」(62%)、「ハッキング」(59%)、「マルウェア」(31%)、不正使用(22%)などだった。過失のうち、79%は「怠慢・手抜かり」のうっかりミスで、そのほとんどが間接的にデータ漏えい/侵害に関与していた。

 ハッキングの内訳は、「アプリケーション/サービスレイヤへの攻撃」(39%)、「OS/プラットフォームレイヤへの攻撃」(23%)、「既知の脆弱性利用」(18%)、「バックドア」(15%)だった。既知の脆弱性利用のうち、71%は情報公開から1年以上を経過したもの、19%が6〜12カ月経過したものが標的になった。脆弱性を悪用するハッキング事件の90%以上は、修正パッチなど迅速に適用していれば防止できるものだった。

 データ漏えい/侵害の攻撃経路は、「リモートアクセス/制御ソフトウェア」(42%)、「Webアプリケーション」(34%)、「インターネットに接するシステム」(24%)、「物理的アクセス」(21%)、「無線LAN」(9%)だった。

 先に挙げた「パートナーによる原因の内訳」との相関関係として、同社ではシステムのリモートメンテナンス回線や業務委託先との通信回線における不正接続やデータ傍受が目立つと分析している。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.