ニュース
» 2008年11月10日 08時00分 公開

セキュリティ管理の基本を徹底すべし、情報漏えい統計に見るデータ侵害(2/2 ページ)

[國谷武史,ITmedia]
前のページへ 1|2       

業界別の傾向と全体的な対策は?

 データ漏えい/侵害の業種別割合は、「小売」(35%)、「食品」(20%)、「金融サービス」(14%)、「技術サービス」(13%)、「製造」(5%)の順だった。リポートでは、このうち小売、金融サービス、技術サービスの4業種について、さらに詳細な傾向分析をしている。

 原因別でみると、全体ではパートナーによるデータ漏えい/侵害の影響度が最も高い結果となったが、業種ごとでは金融サービスで企業内が最も高かった。技術サービスでは、パートナーによる影響度が非常に大きいことが分かった。

リスク値
業界 原因 割合 漏えい件数 リスク値
全体 企業外 73% 3万件 2万1830
企業内 18% 37万5000件 6万8617
パートナー 39% 18万7500件 7万3404
金融サービス 企業外 56% 4000件 2250
企業内 38% 17万5000件 6万5625
パートナー 41% 15万1250件 6万1445
食品 企業外 80% 3万件 2万4130
企業内 4% 20万件 8696
パートナー 70% 12万5000件 8万6957
小売 企業外 84% 4万5000件 3万3778
企業内 11% 25万件 2万7778
パートナー 36% 11万2500件 4万278
技術サービス 企業外 55% 50万件 27万2727
企業内 39% 110万7600件 43万6314
パートナー 18% 600万件 109万909

 パートナーによる原因の内訳は、全体では「パートナー側にある資産(システム)や通信経路」が最多だったが、特に食品(74%)および小売(66%)は全体平均(57%)を大きく上回った(技術サービスでは統計できず)。

 脅威の種類を業界別にみると、金融では「詐欺」「不正使用」の割合が高く、技術サービスでは「不正使用」や「物理的な脅威」が目立った。

脅威の種類(業界別)
脅威の種類 金融サービス 食品 小売 技術サービス
マルウェア 23% 26% 34% 33%
ハッキング 26% 74% 68% 45%
詐欺 42% 2% 4% 9%
不正使用 32% 12% 15% 42%
物理的脅威 16% 5% 16% 21%
過失 45% 60% 65% 67%
環境 0% 2% 0% 0%

 攻撃の技術レベルは、全体では「低」レベル(52%)が最多だったが、金融サービスと技術サービスでは「中」レベル(41%と38%)が最多だった。

 データ漏えい/侵害の発覚から対策実施までの期間は、金融サービスでは数日程度を要していたが、食品および小売では数週間から数カ月を要する割合が半数以上となり、漏えい/侵害をされても気づきにくい実態が判明した。

 漏えい/侵害されたものの多くは、管理者が把握していないデータや接続だったが、金融サービスではほかの業種よりも割合が低かった。漏えい/侵害の発覚は、どの業種とも「第三者による通報」が最多だったが、金融サービスでは「内部通報」の割合も高いことが分かった。

 これらの分析から、4業種の傾向は以下のようになるという。

金融サービス

  • 企業内を原因とするリスクが高い
  • 詐欺や過失による攻撃が目立つ
  • 攻撃レベルは高度で時間をかけて行われる。発見および対策は迅速である
  • 正体不明の情報資産が少なく、管理意識が高い

食品

  • 攻撃の大半は企業外からで、パートナー企業との通信経路を悪用する傾向が高い
  • 全般的なセキュリティ構成が弱く、反復的な攻撃も多い
  • POSシステムを突破口にして、関連企業のシステムにもマルウェアなどの攻撃を広げる
  • 漏えい/侵害の発見に時間がかかる

流通

  • リモートアクセス、Webアプリケーション、無線LANへの攻撃が目立つ
  • 攻撃レベルが低い単純な攻撃が多いが、複雑なものが時折見受けられる
  • 漏えい/侵害の発見を外部に大きく依存している

技術サービス

  • 攻撃レベルは高度である。技術に明るいが、情報資産やシステム構成の把握に苦慮している
  • ハッキング攻撃が目立ち、脆弱性の悪用が多い。しかし、修正パッチ適用などの包括的な対策が十分ではない
  • 悪意のある内部関係者が問題。社員全体のアクセス権限がほかの業種よりも高い傾向にあり、管理も難しい
  • 知的財産の侵害が他業種よりも多い


 データ漏えい/侵害の対策として、五十嵐氏はセキュリティルールの適切な実施と不正アクセスの防止や脆弱性解消などの徹底、パートナー企業との契約におけるセキュリティ内容の管理徹底などを挙げる。

 その上で、「情報がどこにあるかを確実に把握し、情報の重要度を評価、管理すること。万が一に備えて、対応方法や実施手順、証拠の収集方法などをまとめた計画を策定し、定期的に計画を検証することが重要になる」と推奨している。

過去のセキュリティニュース一覧はこちら

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ