情報漏えいの最大コストは「顧客の喪失」：詳報

Ponemon Instituteの調査によると、情報漏えいに起因する平均コスト（検出、通知、事業機会の損失などにかかわるコスト）は増加しつつあるようだ。企業にとって最大のコストは事業機会の喪失で、情報流出コスト全体の69％を占めている。

[Brian Prince，eWEEK]

　情報流出、特に外部の人間による情報流出はコストを発生させ、その金額は増加傾向にあるようだ。

　情報流出に伴うコストに含まれるのは、関係者への通知に関連した費用だけではない。事業機会の喪失というコストも発生するのだ。そしてPonemon Instituteの調査によると、このコストは情報流出に起因するコストで最大の部分を占めている。

　PGPがスポンサーとなって実施されたこの調査によると、2008年の情報漏えいに伴う対応作業（調査、通知、事後対策など）の平均コストは、情報1件当たり202ドルで、2007年の1件当たり197ドルと比べて増加した。

　この調査では、2008年には「事業機会の喪失」が情報流出コストの69％を占めたことが明らかになった。2007年はこの数字が65％、2006年は54％だった。

　Ponemonの調査は、情報漏えいが起きた43社の企業からの報告に基づく。これらの企業の84％では、以前にも情報漏えいを経験している。

　ほかの調査と同様、Ponemonの調査でも、情報流出の多くはハッカーによるものではなく、内部の人間の不注意が原因であることが明らかになった。またアウトソーサー、下請業者、コンサルタントといった社外組織による情報流出を挙げたのは回答企業の44％で、これは2005年の数字の2倍以上になる。社外組織による情報流出の平均コストは、ほかの原因の場合よりも52ドル高く、平均で231ドルだった。

　認証／アクセス管理製品のベンダーであるSailPoint Technologiesのマーク・マクレインCEOは「多くの企業では今でも、社内的な脅威よりも社外的な脅威に対する防御に注力しているようだ。規則を守らない従業員への対策を講じるよりも、悪名高い東欧のハッカーに対する防御方法を重視しているのだ」と指摘する。

　Heartland Payment Systemsでのデータ漏えいや、それ以前の無数のデータ漏えい事件に見られるように、サイバー犯罪者たちは常に企業のデータを狙っている。Heartlandの場合、同社はVISAとMasterCardからカードの決済処理に関して不審な点があるという通報を受けて調査を開始した。その結果、ハッカーによって自社のシステムにマルウェアが仕込まれたことが分かった。

　情報漏えいを経験した企業の多くは、従業員のトレーニングに力を入れるとともに、暗号化対策の強化に取り組んでいる。

　「これらの企業がまず実施するのは、情報セキュリティに関する手順策定とトレーニングだ。データ漏えいの多くが社内の人間の不注意が原因であることを考えれば、これは理にかなった対策だ」とPonemon Instituteのラリー・ポネモン氏は語る。「技術的な視点から見れば、データ漏えいが起きた企業で最も多く用いられる技術は暗号化である。われわれの調査でも、暗号化技術の総合的・戦略的な活用の必要性が示されている」

　Heartlandではデータ流出の発表後、金融取引に関連した小売店および顧客のデータを保護するためのエンドツーエンド型暗号化技術の開発に専念する社内部門を設立した。

　Heartlandのロバート・O・カーCEOによると、PCI DSS（Payment Card Industry Data Security Standard）は有効だが、サイバー犯罪者の手口が高度化しているため、さらなる対策が必要だという。

　「決済システムのセキュリティを実現するような特効薬は存在せず、インフラに対する不断の警戒と監視が必要だ」とカー氏は発表文で述べている。「それでも、エンドツーエンド型暗号化技術の開発と配備は、今後必要とされる高レベルのセキュリティを実現するのに役立つとわたしは考えている」

　PCIに準拠するだけでは、顧客や企業を完全に保護できないという考え方は、ITセキュリティで法規制が果たす役割をめぐる議論につながった。ポネモン氏は、セキュリティ技術に関する指針を法規制に含めることには賛成だが、法律が時代遅れになる危険性も指摘する。

　「法律には必ず時間的なずれが存在する。特定の暗号化技術や特定のソフトウェア防御技術の利用を法律で義務付けても、巨大なセキュリティ脅威のすべてを網羅できるわけではない。その結果、企業が時代遅れの技術を配備する恐れがある。必要なのは、イノベーションを可能にする柔軟性であり、イノベーションを制限する法律ではない」（同氏）