データ漏洩とは？

データ漏洩とデータ損失の違い
データ漏洩とデータ流出の違い
データ流出の原因
データ漏洩による影響
データ漏洩の検出と対応

データの漏洩を防止する戦略
最も多いデータ漏洩
結論

データ漏洩とは、機密情報や個人情報の不正な公開を指します。いったんデータが漏洩すると、そのデータが保護されている保証はなく、悪用される可能性が高くなります。

データ漏洩は、意図的な場合もあれば、偶発的な場合もあり、さまざまなシナリオで発生します。データ漏洩は非常に深刻な問題であり、迅速に検知し、修復するための手順を整備しておく必要があります。

データ漏洩には、以下のようないくつかの種類があります。

電子メールの漏洩
サイバー攻撃によるデータ漏洩
安全対策が施されていないシステムからの漏洩
内部脅威による漏洩

さらに読み進めてください。

データ漏洩とデータ損失の違い

データ漏洩とデータ損失はどちらも深刻な問題であり、データの保護を任務とする企業にとって、ある程度の金銭的な影響を及ぼす可能性が高いです。これらのトピックは類似しているように見えますが、その影響と企業がそれらに対応すべき方法には違いがあります。

データ漏洩は深刻な問題であり、企業は漏洩を早急に食い止める必要があります。データ漏洩が問題となるのは、データがもはや管理下に置かれているとは言えないからです。つまり、許可されていない組織が不正にデータにアクセスし、使用することが可能になるからです。

データ損失も同様に深刻な問題ですが、その性質は異なります。データ保持ポリシーは一般的であり、企業は特定の種類のデータを一定期間保持することが求められます。これらの保持ポリシーに違反すると（故意か過失かを問わず）、罰金や法的トラブルにつながる可能性があります。さらに、データの損失によりセキュリティ調査が中断されると、是正措置に時間がかかり、コストが増加します。

データ漏洩とデータ流出の違い

データ漏洩とデータ流出は似ていますが、明確に異なります。データ漏洩は、機密情報や個人情報が許可なく公開されることで発生します。これは、人為的ミス、安全でないシステム、サイバー攻撃の結果として起こり得ます。

データ流出とは、許可されたソースから許可されていないソースにデータを転送するプロセスです。つまり、データ流出はデータ盗難と考えることができます。例えば、従業員が機密情報を個人のGmailアカウントにメールで送信したり、会社の機密データを個人のGoogleドライブにバックアップしたりすることが考えられます。

データ流出の原因

データ漏洩の原因は数多く考えられますが、その中には意図的なものもあれば、そうでないものもあります。よくある攻撃方法をいくつか見てみましょう。

サイバー攻撃

さまざまな攻撃方法の中でも、データ漏洩につながる最も一般的なのがサイバー攻撃です。「データが豊富な」企業を標的とした攻撃も含まれ、長期にわたって多面的に行われることもあります。サイバー攻撃は、弱点を探る行為、標的の特定、フィッシング、ソーシャルエンジニアリング、マルウェアの仕込みなどの組み合わせで構成されることがあります。

内部からの脅威

次に多い攻撃方法は、データへのアクセス権限を持つユーザーを悪用する内部脅威です。内部脅威によるデータ損失は、悪意によるものとは限りません。過失やトレーニング不足が原因となる場合もあります。

セキュリティ保護のないシステム

無防備なシステムやネットワークは、データの保護という観点ではリスクとなります。幸いにも、この攻撃方法は予防が可能です。パッチの適用を怠らないようにしましょう！

第三者の違反行為

2020年後半に発生したSolarWindsのサイバー攻撃は、サードパーティベンダーのセキュリティ問題が組織内のデータ損失につながる可能性があることを示す最良の例かもしれません。

人的なエラー

優れたセキュリティ対策には、アクセスを制限することが含まれます。（理想的には、アクセスを一切許可しないことを意味しますが、現実世界ではそれは現実的ではありません。）最高の安全対策を講じていても、人間は完璧ではなく、間違いを犯しやすいものです。ヒューマンエラーは、安全でない通信チャネルの使用、承認されたソフトウェアの未使用、フィッシング攻撃の被害、または不適切なパスワード管理に起因することがよくあります。

データ漏洩による影響

金銭的損失

企業は、データ漏洩により直接・間接的な金銭的損失を被る可能性があります。直接的な金銭的損失の例としては、業務の混乱、高額な罰金、訴訟などが挙げられます。間接的な金銭的損失には、企業の評判の低下やネガティブなPRなど、無形のものが含まれます。

事業の中断

時は金なり、そして高度な技術を持つエンジニアは多額の費用がかかります。特に、計画された作業が中断し、エンジニアリングの時間が予定外のトラブルシューティングに費やされる場合、その費用は膨大なものになります。重要なリソースを拘束するだけでなく、これは業務の混乱を招き、収益の損失につながる可能性が高いです。

評判の低下

顧客データの損失による顧客からの信頼の喪失は、収益に直接的な影響を与えるため、深刻な問題となる可能性があります。メディアでネガティブな報道がなされると、そのネガティブな感情が長引く可能性があり、その結果、貴社が悪いイメージでブランド化されてしまうかもしれません。これは最終的に従業員の士気の低下や、企業成長の機会損失につながる可能性があります。

法的およびコンプライアンス上の問題

データの管理者として、企業は機密データの取り扱いと保存を規定する法律やコンプライアンス規制を遵守しなければなりません。データの機密性はデータの種類によって異なる場合があり、ガイドラインに従わない場合（ガイドラインに従うために発生する費用やガイドラインの複雑さに関わらず）には厳しい罰則が科せられます。

データ漏洩の検出と対応

実行時（ランタイム）の監視および検知

ネットワークとユーザーの活動を監視し、その他の予防策と組み合わせることで、企業はデータ漏洩の影響を最小限に抑えるチャンスが高まります。これには、セキュリティチームが漏洩をより早く特定し、重大な被害が発生する前に漏洩を阻止できるツールへの投資が含まれます。

インシデントレスポンス計画

データ漏洩を検出することは、戦いの半分に過ぎません。実際にインシデントが発生した場合の対応方法を定めた計画を事前に用意しておくことも重要です。ここで必要となるのがインシデント対応計画です。これは、データ漏洩が発生した場合に迅速に対応するための計画を文書化したもので、侵害の封じ込め、影響の評価、是正措置の実施などの手順を含める必要があります。.

修復

インシデントの修復を行う前に、いくつかのステップを踏む必要があります。まず何よりも、さらなるデータ損失を防ぐために、侵害を封じ込める必要があります。これには、ユーザーをシステムから切断したり、ネットワークアクセスを遮断したりすることが考えられます。封じ込めが完了したら、侵害の深刻度を評価し、全体的な影響を把握する必要があります。深刻度が把握できれば、侵害の根本原因を突き止めるために費やすリソースの量を決定することができます。この段階で優れたインシデント対応計画を立てることが、最終的にどれだけのデータが漏洩するかを決定する上で極めて重要です。

根本原因が特定されれば、それを修正することができます。その後、インシデント後のレビューに移行し、企業はそこから学び、同じ問題が再び発生しないよう適切な管理を徹底します

流出したデータは流出を食い止められるか？

いったんデータが漏洩すると、そのデータの保管責任の連鎖は途切れ、このデータへのアクセスを制限する手段はもはや何もなくなります。漏洩が発見され、修復される前に、複数の組織がすでにこのデータを収集、保存、分析している可能性もあります。データ漏洩が迅速に発見され、解決されたとしても、そのデータが不正なソースによってアクセスされたかどうかを判断する負担は残ります。

データ漏洩後の被害を最小限に抑える方法のひとつは、影響を受ける人々に透明性を確保することです。これには、どのような種類のデータが漏洩したのか、またそれがいつ起こったのかをユーザーに通知することが含まれます。外部のセキュリティ企業と協力し、また、誰が責任を負うべきかを特定し、二度と起こらないようにするための真摯な努力をすることも、データ漏洩後に公衆の信頼を回復しようとする効果的な方法です。

データの漏洩を防止する戦略

セキュリティポリシーと手続き

セキュリティポリシーや手順を策定する際には、データのタイプや保存・処理方法に従ってデータを分類することがまず考慮すべき事項となります。例えば、PIIデータは国によって異なる扱いを受け、それによってデータの収集、使用、保存、破棄の方法に関するルールが決定されます。

役割ベースのアクセス制御や監査証跡は、誰がどのような種類のデータにアクセスできるかを特定するために使用できる、効果的な手段です。また、アナリストがデータ侵害が発生した場所を迅速に特定することも可能にします。

従業員の研修と意識向上

上述の通り、優れたセキュリティポリシーも、そのデータへのアクセスを許可されたユーザーの教育が不十分であれば、その効果は限定的なものとなり、無意味なものとなってしまいます。攻撃者はこのことをよく理解しており、ユーザーをだますことで意図的に弱点を狙います。これが、社員教育と意識向上が非常に重要である理由です。提供されるトレーニングは、ユーザーが継続的に受講できるよう、短時間で関連性の高い内容であるべきです。トレーニングに加えて、企業はデータ漏洩につながる可能性のある疑わしいプロセスや異常を報告するようユーザーに促すべきです。

最も多いデータ漏洩

さまざまな種類の大量のデータを保有する豊富なデータを保有する企業（データリッチ企業）は、犯罪者にとって格好の標的となります。例えば、個人向けに信用情報を収集、分析、作成し（そしてそれを貸し手に販売する）米国の大手信用調査会社3社は、いずれもデータリッチ企業です。

その大手信用調査機関の1つであるEquifaxは、2017年にデータ漏洩の被害に遭いました。攻撃者がパッチ未適用のシステムを特定し、そこから情報を抽出（多くのPIIデータを含む）したことにより、1億4,300万人の消費者の情報が流出しました。

1億人以上のユーザーが被害に遭ったと考えると目を疑うような話ですが、それより数年前にもさらに大規模なデータ漏洩があり、被害を受けたユーザー数は数十億人に上りました。これはYahoo!で一度ならず二度も発生しており、2013年と2014年に攻撃者がユーザーアカウントの名前、生年月日、メールアドレス、および難しい質問を盗んだのです。

結論

データを管理する企業には、そのデータを保護し、適切なポリシーと手順を整備して情報の漏洩を最小限に抑える義務があります。データの漏洩は社会に大きな影響を与え、決して軽視できるものではありません。

攻撃者にとっては、データ漏洩を事業コストとして処理する資金力のある大企業に対する犯罪と映るかもしれませんが、最終的に本当に被害を受けるのは、データ漏洩の被害に遭った人々です。
個人情報の盗難や詐欺は、こうしたデータ漏洩の結果として発生することがよくあります。被害者は実際に存在し、こうした犯罪の痛手を感じています。