悪質な国々はさまざまな悪意ある目的のために米国が保有する大量のデータを求めている。そしてその標的は大規模な企業だけでなく、中小企業や個人にまで及ぶだろう。
この記事は会員限定です。会員登録すると全てご覧いただけます。
編集部注: 以下は、パスワード管理サービスを提供するLastPassのマイケル・コーサック氏(シニアプリンシパル・インテリジェンスアナリスト)による寄稿記事である。
ホワイトハウスは最近、米国人の個人データが中国やロシアを含む国々に移転するのを防ぐ権限を、司法長官に与える執行命令を発表した(注1)。これらのデータには健康状態や位置情報、金融データなどが含まれる。
国防総省でテロ対策情報将校を務めた私の経験に基づけば、この命令は歓迎すべきものだ。これは中小企業を含む個人データ価値の変化を反映している。ホワイトハウスが執行命令を出すに至った背景について解説していこう。
これらのデータは単に大量というだけでなく独自の質を持つようになった。
ビッグデータは恐喝、AIの訓練と分析、反体制派の監視、諜報員の特定と追跡、医療研究、その他多くの目的のために使用できる。そのため国家がそれらを求めるようになった。
国家によるデータ取得というと、人事記録やセキュリティクリアランスフォームの盗難につながった2015年の人事管理局情報漏えい事件のような大規模なものが連想されるが、実際には、もっと簡単な商業的手段で大量の機密データを入手できる。
企業が個人情報を収集し、データブローカーに販売することで、それが転売され、完全に合法的なルートで外国の軍事組織や諜報機関の手に渡るためだ。
この新しい執行命令が意味するのは、ある国の安全保障や戦略的利益に対してサイバースパイ攻撃を実行する場合、攻撃対象は政府や防衛関連企業のコンピュータネットワークにとどまらないという現実だ。攻撃対象は、今や国民一人一人にまで広がっている。
多くの人は、自分が外国のサイバースパイ活動の標的にされる可能性は低いと考えている。しかし、それは個人データの価値を軽視する考えでもある。なぜなら、個人データは単体では大きな価値を持たないが、全体を構成する一部としては価値を持つためだ。
集合体としてデータを調べた場合、戦略的に有用な情報を明らかにできる。
これには位置情報や財務データ、医療情報や遺伝子情報、その他あらゆる種類の機密情報が含まれる。これらをまとめて調査することで、機密性の高い場所(例えば、高速道路や駐車場に近いにもかかわらず位置情報がほとんどない地域)を特定したり、恐喝や贈収賄の対象となりやすい個人の財務的な特徴を特定したりするなど、貴重な洞察を得ることが可能になる。
同じことは中小企業にも当てはまる。中小企業は、自社がサイバースパイ活動の標的になる可能性は低いと考えている。
2013年に起こった、大手小売業者であるTargetにおけるデータ侵害のように、これまで中小企業は巨大な組織に対する攻撃の突破口として位置付けられてきた。これらの考えは、政府による最近の警告にも反映されており(注2)、(電力やガス、鉄道、空港などの)重要インフラストラクチャへのアクセスを得るために中小企業が標的にされる可能性がある。
しかし今回の執行命令は、もう一つの潜在的なセキュリティ上の懸念を指摘している。それは、米国人のデータへのアクセスを試みる国が、投資関係やベンダーとの関係、雇用関係を把握する目的で、中小企業を標的とするものだ。
この攻撃手法は機密データに対する脅威が、標準的な侵害の手口を超えたものであることを強調している。新しい執行命令は、司法省と国土安全保障省に対して、悪質な国々が商業手段を通じて米国人のデータにアクセスすることを防ぐための高いセキュリティ基準を構築するよう指示している。
要するに、外国の敵対者が企業の買収や取引関係の操作を通じて機密データを収集するのを防ぐということだ。
国家レベルのサイバー脅威が特定の個人だけでなく、全ての人々のデータにリスクをもたらすという新しい現実において、この執行命令は、米国市民を保護するために役立つ。
この執行命令が施行され、詳細が発表されれば、さらに多くの情報を得られるできるだろう。
一方でこの執行命令は、サイバー犯罪だけでなく、全ての個人および個人のデータが潜在的な標的であることを思い出させてくれる。つまり個人データをどこで誰と共有するかを考え直すなど、適切な対策を講じる必要がある。
© Industry Dive. All rights reserved.