データ侵害に遭う企業ができていない「2つのこと」とは？

個人情報や機密データを盗むデータ侵害は企業側の対応コストが高くつき、複数の企業に飛び火しやすい。この攻撃を防ぐにはどうすればよいのだろうか。

[Matt Kapko，Cybersecurity Dive]

　個人情報や企業の機密データが許可なく盗まれたり持ち出されたりする被害が相次いでいる。これは「データ侵害」と呼ばれるサイバーインシデントだ。

データ侵害の原因を絶つにはどうすればよいのか

　データ侵害が起こる原因として何が考えられ、どの業界でデータ侵害が起きやすいのか。また、企業はどのような対策を取るべきなのか。

　データ侵害を受けると極めて高額なコストが発生する。IBMが2024年7月30日に発表した年次報告書「Cost of a Data Breach」によると（注1）、世界におけるデータ侵害の平均コストは2023年の450万ドルから10％近く増加し（注2）、2024年は490万ドル近くになるという。2020年以降毎年増加する傾向が止まらない。

　米国の企業はデータ侵害時の平均コストが約940万ドルと世界で最も高く、14年連続でトップだ。次いで中東、ベネルクス諸国、ドイツ、イタリアの企業が上位5位を占めた。

　報告書によると、2011年以来、データ侵害時の被害額が最も高額だった業界は医療だった。平均被害額は約980万ドルだ。ただし、2023年の1090万ドルから減少した。

根本原因は2つある

　2024年のデータ侵害の最初の攻撃経路として、最も多かったのは「漏えいした認証情報」だった。アイデンティティー管理（ID管理）がうまくできていない。これがデータ侵害の16％を占めた。次いでフィッシング攻撃が15％で2位だった。

　サイバーセキュリティの専門家や脅威ハンター、インシデント対応チームは、長年にわたり、ID管理の不備について警鐘を鳴らしてきた（注3）。2024年7月初めに発表されたGoogle Cloudの報告書によると、2024年の最初の6カ月間におけるクラウド環境への攻撃の47％は、認証情報が脆弱だったり、認証情報が存在しなかったりするシステムを最初の侵入経路としていた（注4）。

　2024年4月には、Snowflakeの顧客環境を標的とした100を超える一連の攻撃が起きた（注5、注6）。これも認証情報の漏えいが原因だ。大手通信企業のAT＆Tや自動車部品販売企業のAdvance Auto Parts（注7）（注8）、データストレージソリューションを提供するPure Storageなどの組織で大規模なデータ侵害が発生した（注9）。

データ侵害を防ぐ方法とは

　データ侵害を防ぐには技術と運用の両面からの対策が役立つ。

　まずは認証情報の漏えい対策だ。多要素認証の導入が有用だ。認証情報が漏えいした場合でも被害規模を抑えるには、最小権限の原則に基づき、必要最小限のアクセス権限のみを付与することだ。

　本文にあるようにクラウドセキュリティが甘い場合も危険だ。クラウド環境に特化したセキュリティ対策としてCASB（クラウドアクセスセキュリティブローカー）やCWPP（クラウドワークロード保護プラットフォーム）などのソリューションが役立つ。

　個人のPCを会社に持ち込んで仕事に使うBYOD（Bring Your Own Device）や「野良SaaS」のように認証情報の管理が甘くなるサービスは単に禁止するよりも、企業の管理下に置く方が得策だ。

　データ自体を監視することも役立つ。組織の機密情報や重要データを監視して、流出を制限するDLP（Data Loss Prevention：データ漏えい防止）ソリューションが効果的だ。

　対策のための予算を確保できるのであればデータ暗号化やゼロトラストアーキテクチャの確立が有用だ。

　フィッシング対策では運用面の対策が役立つ。セキュリティ意識向上のために定期的に研修を実施し、フィッシング詐欺への対処方法を明らかにする。

　データ侵害の特定に要する時間を短縮するには、監査とログ分析の強化が役立つ。ネットワークトラフィックやユーザーアクティビティー、システムログなどをリアルタイムで監視するシステムの導だ。異常な動きを即座に検知することで、侵害の早期発見につながる。同時に高度なログ分析ツールのを導入すると良い。AIや機械学習を利用したログ分析ツールを導入し、膨大なログデータから異常パターンを迅速に検出できるからだ（キーマンズネット編集部）

認証情報を使った攻撃はなぜ怖いのか

　IBMの報告によると、認証情報を悪用した攻撃は特定と封じ込めに時間がかかるため、被害を受けた企業の財務状況が悪化するという。盗まれた認証情報や漏えいした認証情報を原因とするデータ侵害において、特定と封じ込めにかかった平均的な合計時間は292日だった。

　特定と封じ込めにかかる時間が長いほど被害額が増える。IBMによると、これに200日以上を要したデータ侵害に関する平均コストが最も高く、約550万ドルだった。

　今回の報告書は、情報セキュリティ企業のPonemon Instituteが実施し、IBM Securityが分析した調査に基づく。2023年3月〜2024年2月の期間にデータ侵害の影響を受けた16の国と地域における600以上の組織の詳細と、3500人以上のセキュリティおよびビジネスリーダーへのインタビューを含む。

出典：Global data breach costs reach all-time high of $4.9M, IBM says（Cybersecurity Dive）
注1：Cost of a Data Breach Report 2024（IBM）
注2：Investigations are causing data breach costs to skyrocket, IBM finds（Cybersecurity Dive）
注3：Security has an underlying defect: passwords and authentication（Cybersecurity Dive）
注4：Weak credentials behind nearly half of all cloud-based attacks, research finds（Cybersecurity Dive）
注5：Snowflake customers caught in identity-based attack spree（Cybersecurity Dive）
注6：What we know about the Snowflake customer attacks（Cybersecurity Dive）
注7：Massive Snowflake-linked attack exposes data on nearly 110M AT&T customers（Cybersecurity Dive）
注8：Snowflake-linked attack on Advance Auto Parts exposes 2.3 million people（Cybersecurity Dive）
注9：Pure Storage comes forward as an early victim of Snowflake-linked attacks（Cybersecurity Dive）