データ漏えい/侵害の業種別割合は、「小売」(35%)、「食品」(20%)、「金融サービス」(14%)、「技術サービス」(13%)、「製造」(5%)の順だった。リポートでは、このうち小売、金融サービス、技術サービスの4業種について、さらに詳細な傾向分析をしている。
原因別でみると、全体ではパートナーによるデータ漏えい/侵害の影響度が最も高い結果となったが、業種ごとでは金融サービスで企業内が最も高かった。技術サービスでは、パートナーによる影響度が非常に大きいことが分かった。
業界 | 原因 | 割合 | 漏えい件数 | リスク値 |
---|---|---|---|---|
全体 | 企業外 | 73% | 3万件 | 2万1830 |
企業内 | 18% | 37万5000件 | 6万8617 | |
パートナー | 39% | 18万7500件 | 7万3404 | |
金融サービス | 企業外 | 56% | 4000件 | 2250 |
企業内 | 38% | 17万5000件 | 6万5625 | |
パートナー | 41% | 15万1250件 | 6万1445 | |
食品 | 企業外 | 80% | 3万件 | 2万4130 |
企業内 | 4% | 20万件 | 8696 | |
パートナー | 70% | 12万5000件 | 8万6957 | |
小売 | 企業外 | 84% | 4万5000件 | 3万3778 |
企業内 | 11% | 25万件 | 2万7778 | |
パートナー | 36% | 11万2500件 | 4万278 | |
技術サービス | 企業外 | 55% | 50万件 | 27万2727 |
企業内 | 39% | 110万7600件 | 43万6314 | |
パートナー | 18% | 600万件 | 109万909 | |
パートナーによる原因の内訳は、全体では「パートナー側にある資産(システム)や通信経路」が最多だったが、特に食品(74%)および小売(66%)は全体平均(57%)を大きく上回った(技術サービスでは統計できず)。
脅威の種類を業界別にみると、金融では「詐欺」「不正使用」の割合が高く、技術サービスでは「不正使用」や「物理的な脅威」が目立った。
脅威の種類 | 金融サービス | 食品 | 小売 | 技術サービス |
---|---|---|---|---|
マルウェア | 23% | 26% | 34% | 33% |
ハッキング | 26% | 74% | 68% | 45% |
詐欺 | 42% | 2% | 4% | 9% |
不正使用 | 32% | 12% | 15% | 42% |
物理的脅威 | 16% | 5% | 16% | 21% |
過失 | 45% | 60% | 65% | 67% |
環境 | 0% | 2% | 0% | 0% |
攻撃の技術レベルは、全体では「低」レベル(52%)が最多だったが、金融サービスと技術サービスでは「中」レベル(41%と38%)が最多だった。
データ漏えい/侵害の発覚から対策実施までの期間は、金融サービスでは数日程度を要していたが、食品および小売では数週間から数カ月を要する割合が半数以上となり、漏えい/侵害をされても気づきにくい実態が判明した。
漏えい/侵害されたものの多くは、管理者が把握していないデータや接続だったが、金融サービスではほかの業種よりも割合が低かった。漏えい/侵害の発覚は、どの業種とも「第三者による通報」が最多だったが、金融サービスでは「内部通報」の割合も高いことが分かった。
これらの分析から、4業種の傾向は以下のようになるという。
データ漏えい/侵害の対策として、五十嵐氏はセキュリティルールの適切な実施と不正アクセスの防止や脆弱性解消などの徹底、パートナー企業との契約におけるセキュリティ内容の管理徹底などを挙げる。
その上で、「情報がどこにあるかを確実に把握し、情報の重要度を評価、管理すること。万が一に備えて、対応方法や実施手順、証拠の収集方法などをまとめた計画を策定し、定期的に計画を検証することが重要になる」と推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.