セキュリティインシデントを考える上で覚えておきたいこと
インターネットの普及は、公私を問わず私たちの生活に様々なメリットをもたらしてくれますが、同時に悪意ある利用者の増加も招いたということも事実です。
単なるいたずらで済めばまだ良いのですが、インターネットを利用した悪意ある行為は今日において大きな経済的損失を国や企業に与える行為になりつつあり、国家による取り締まりはもちろん、未然に脅威を防ぐための企業による自助努力がより一層求められる時代となりました。
2018年1月には、仮想通貨取引所に不正アクセスがあり、580億円もの仮想通貨が流出し、大きなニュースとなりました。
他にもクレジットカード情報の流出や、ECサイトの会員情報など、日々様々な情報漏えい事故が起こっています。
こうした不正アクセスなどが原因で起こった情報漏えいなどの事故を、セキュリティインシデントと呼びます。
厄介なのは一度対策をすれば良いというものではなく、ほぼ永続的に対策を練らなければ徐々にそのリスクが大きくなっていくという点です。
今回はそんなセキュリティインシデントについての基礎知識や、一般的な対策方法についてご紹介します。
これだけの人数の情報が得体の知れない第三者の手に渡ったと考えるだけでも恐ろしい話ですが、この漏えいによって発生する賠償金額も並みのものではありません。
想定されている金額は、総額で約2789億円、一件当たり6億円を超える金額になるだろうと見積もられています。一人当たりに換算すると3万円程度の金額です。
個人情報漏えいインシデントは組織の評判を著しく損ねるだけでなく、金銭的にも大きなダメージとなる可能性の大きなケースであることがこのことからわかります。
468件のインシデントのうち、168件が管理ミス、73件が誤操作と、実に全体の半数近い原因を占めていることが上のデータからわかります。加えて紛失や置き忘れを原因とするインシデントが61件も含めると、セキュリティインシデントは外的な要因よりもむしろ現実世界の人間による内的なアクシデントが主な原因であると言えるでしょう。
とはいえ不正アクセスによるインシデントは68件、不正な情報の持ち出しが32件、盗難が22件、バグやセキュリティホールを突かれたインシデントが8件、ワームやウィルスによるインシデントが5件も発生していることを踏まえると、犯罪行為によるインシデント発生リスクは小さいということはできません。
むしろ、悪意ある行為によって流出が起きた場合の方が単なる事故に比べてよっぽど大きなアクシデントにつながることが想定されるため、その被害は単なる人為的なミスよりも大きくなるリスクが高いと言えるでしょう。
そして日本は先進国の中でも特に外的なインシデントへの意識が低い組織が多く、いざ攻撃の対象となった際には何もできずに大規模な被害を被ってしまうのではと懸念されています。怪我や病気と同様に、いざ事故に遭わなければリスクの重みを実感できないというのは非常に危険な状態と言えるでしょう。
中でも恐ろしいのがランサムウェアと呼ばれるソフトで、これは「ransom(身代金)」という意味の通りコンピューターの操作・アクセスを制限して、身代金を要求するというものです。
つい最近も欧州を中心とした世界的なサイバー攻撃があったという事件がありましたが、あの時に使用されたのもランサムウェアが主なものでした。
攻撃の被害を受けた企業には数万ドル、数十万ドルの身代金を支払ったところもあり、日本でも対応が見直されている状況です。
マルウェアを用いて複数の端末からデータを送信して対象をダウンさせる巧妙な手法や、「F5アタック」と呼ばれる不要な更新リクエストを大量に送信するという古典的なものなど、攻撃手法が様々であるため未然に防ぐことが難しいインシデントの一つと言えます。
webアプリケーションにブラウザ経由で悪意のある不正なSQL文を注入(インジェクション)し、不正アクセスや情報の流出を促すというもので、データベースを完全に第三者の手による編集が行えるようにさせてしまうことから様々な対策を講じることが推奨されています。
脅威はこの他にもブルートフォースアタックやセッションハイジャック、バッファーオーバーフロー攻撃、ポートスキャンなど様々な事例に及び、これに応じて国や企業はあらゆる攻撃を想定して対処法を構築しておくことが求められているのです。
最近では自社でのセキュリティ対策コスト抑制のため、クラウドコンピューティングを用いてコストカットしつつリスク分散に努める企業もあるようです。クラウドサービスはサービス提供者側が高いセキュリティもサービスの一環として提供しているため、オリジナルのシステムよりも安価で安全であるというメリットを得やすいという理屈です。
そして人為的なミスを減らすための徹底した社内教育です。上のデータでも現れていたように、ヒューマンエラーはどうしても起こってしまうものですから、個人情報や重要なデータが人のミスによって危険にさらされてしまわないよう発生のリスクを最大限抑える努力は怠るべきではないでしょう。
データ取り扱いのルールを徹底するなど、ミスの起こりにくい環境構築を行うことが重要です。
セキュリティインシデントは何か一つの原因によって引き起こされるというよりも、色々な問題が重なって重大事件に発展するというケースが見られます。考えられるケースを全て想定し、複合的に問題解決に取り組む姿勢が大切な案件であると言えるでしょう。
単なるいたずらで済めばまだ良いのですが、インターネットを利用した悪意ある行為は今日において大きな経済的損失を国や企業に与える行為になりつつあり、国家による取り締まりはもちろん、未然に脅威を防ぐための企業による自助努力がより一層求められる時代となりました。
2018年1月には、仮想通貨取引所に不正アクセスがあり、580億円もの仮想通貨が流出し、大きなニュースとなりました。
他にもクレジットカード情報の流出や、ECサイトの会員情報など、日々様々な情報漏えい事故が起こっています。
こうした不正アクセスなどが原因で起こった情報漏えいなどの事故を、セキュリティインシデントと呼びます。
厄介なのは一度対策をすれば良いというものではなく、ほぼ永続的に対策を練らなければ徐々にそのリスクが大きくなっていくという点です。
今回はそんなセキュリティインシデントについての基礎知識や、一般的な対策方法についてご紹介します。
- 多大な損害をもたらしかねない漏えい事故
- 人為的ミスが原因の大半を占めるが、サイバー犯罪も決して無視できない
- 3ステップの対処法
セキュリティインシデントの実情
金銭的負担の大きい情報漏えい
特定非営利活動法人日本ネットワークセキュリティ協会の調査報告(http://www.jnsa.org/result/incident/)によると、2016年における個人情報漏えいインシデントの発生件数は468件、漏えいした個人情報はおよそ1397万人分にも及びます。
出典:2016年 情報セキュリティインシデントに関する調査報告書(http://www.jnsa.org/result/incident/)
これだけの人数の情報が得体の知れない第三者の手に渡ったと考えるだけでも恐ろしい話ですが、この漏えいによって発生する賠償金額も並みのものではありません。
想定されている金額は、総額で約2789億円、一件当たり6億円を超える金額になるだろうと見積もられています。一人当たりに換算すると3万円程度の金額です。
個人情報漏えいインシデントは組織の評判を著しく損ねるだけでなく、金銭的にも大きなダメージとなる可能性の大きなケースであることがこのことからわかります。
まだまだ人為的ミスが目立つが・・・
加えて、漏えいの原因も注目しておきたいポイントです。セキュリティインシデントは外部からの攻撃に限らず、内部の人間による人為的なミスによって引き起こされるケースが多いというデータも存在しています。
出典:2015年 情報セキュリティインシデントに関する調査報告書(日本ネットワークセキュリティ協会)
http://www.jnsa.org/result/incident/
とはいえ不正アクセスによるインシデントは68件、不正な情報の持ち出しが32件、盗難が22件、バグやセキュリティホールを突かれたインシデントが8件、ワームやウィルスによるインシデントが5件も発生していることを踏まえると、犯罪行為によるインシデント発生リスクは小さいということはできません。
むしろ、悪意ある行為によって流出が起きた場合の方が単なる事故に比べてよっぽど大きなアクシデントにつながることが想定されるため、その被害は単なる人為的なミスよりも大きくなるリスクが高いと言えるでしょう。
そして日本は先進国の中でも特に外的なインシデントへの意識が低い組織が多く、いざ攻撃の対象となった際には何もできずに大規模な被害を被ってしまうのではと懸念されています。怪我や病気と同様に、いざ事故に遭わなければリスクの重みを実感できないというのは非常に危険な状態と言えるでしょう。
危害を及ぼす脅威の種類
上述のように、セキュリティインシデントにつながる外的脅威についてもいくつか種類が存在します。いわゆるサイバー犯罪と言われるものですが、一口に犯罪といっても様々なアプローチが存在しています。マルウェア
一つはマルウェアと呼ばれる悪質なソフトウェアです。コンピューターウィルスやワーム、トロイの木馬はマルウェアの一種で、いずれもデータの破壊や盗難、外部からの不正アクセスを可能にしてしまう厄介な存在です。中でも恐ろしいのがランサムウェアと呼ばれるソフトで、これは「ransom(身代金)」という意味の通りコンピューターの操作・アクセスを制限して、身代金を要求するというものです。
つい最近も欧州を中心とした世界的なサイバー攻撃があったという事件がありましたが、あの時に使用されたのもランサムウェアが主なものでした。
攻撃の被害を受けた企業には数万ドル、数十万ドルの身代金を支払ったところもあり、日本でも対応が見直されている状況です。
DoS・DDoS攻撃
DoS・DDoS攻撃もポピュラーなインシデント事例です。特定のサーバーやwebサイトに対して大量のデータを送信することで負荷を与え、正常な処理を行えない状態に陥れます。マルウェアを用いて複数の端末からデータを送信して対象をダウンさせる巧妙な手法や、「F5アタック」と呼ばれる不要な更新リクエストを大量に送信するという古典的なものなど、攻撃手法が様々であるため未然に防ぐことが難しいインシデントの一つと言えます。
SQLインジェクション
他にはSQLインジェクションと呼ばれる脅威も大きな被害を生みかねないものの一つです。webアプリケーションにブラウザ経由で悪意のある不正なSQL文を注入(インジェクション)し、不正アクセスや情報の流出を促すというもので、データベースを完全に第三者の手による編集が行えるようにさせてしまうことから様々な対策を講じることが推奨されています。
脅威はこの他にもブルートフォースアタックやセッションハイジャック、バッファーオーバーフロー攻撃、ポートスキャンなど様々な事例に及び、これに応じて国や企業はあらゆる攻撃を想定して対処法を構築しておくことが求められているのです。
セキュリティインシデントへの対応方法は
セキュリティインシデントを考える上で一番重要なのがその対処法です。どれだけサイバー攻撃やインシデントについての知識を持っていても、実際にそれが起こった際に適切な対処を行える環境が整っていなければ意味はありませんから、少しでも早いうちから対策を実行しておくことが肝要になります。外的脅威への対応
はじめに重要なのが上で紹介したような外的脅威によるインシデントへの対策です。ファイアウォールの構築やウィルス対策の徹底など、実際に攻撃を受けた際に被害を最小限に抑えられるシステムを組み上げておくことはもはや当たり前で、常に最新のセキュリティ状態を維持しておくことも大切です。最近では自社でのセキュリティ対策コスト抑制のため、クラウドコンピューティングを用いてコストカットしつつリスク分散に努める企業もあるようです。クラウドサービスはサービス提供者側が高いセキュリティもサービスの一環として提供しているため、オリジナルのシステムよりも安価で安全であるというメリットを得やすいという理屈です。
物理的脅威・ヒューマンエラーへの対応
あるいは盗難や不正持ち出しを防ぐために、社内のセキュリティを強化するという取り組みも重要です。いくらサーバーのセキュリティを増強したり、クラウドサービスに移行したところで正規のパスワードやIDを物理的に持ち出されては対処のしようがありませんから、こういった古典的な防犯対策もまだまだ有効であると言えます。そして人為的なミスを減らすための徹底した社内教育です。上のデータでも現れていたように、ヒューマンエラーはどうしても起こってしまうものですから、個人情報や重要なデータが人のミスによって危険にさらされてしまわないよう発生のリスクを最大限抑える努力は怠るべきではないでしょう。
データ取り扱いのルールを徹底するなど、ミスの起こりにくい環境構築を行うことが重要です。
セキュリティインシデントは何か一つの原因によって引き起こされるというよりも、色々な問題が重なって重大事件に発展するというケースが見られます。考えられるケースを全て想定し、複合的に問題解決に取り組む姿勢が大切な案件であると言えるでしょう。
PR:ECサイト構築パッケージ「Orange EC」ではお客様にECサイト運営のノウハウをお伝えしています
