米通信大手の日本法人ベライゾンジャパンは4月12日、データ漏洩/侵害の発生状況や使用された手法、推奨される対応策などをまとめたレポート「Data Breach Digest(データ漏洩/侵害概要)」を発表した。同レポートは、同社が毎年発表している「データ漏洩/侵害調査報告書(DBIR:Data Breach Investigations Report)」の事例から、手口の巧妙さや検知の難しさ、損害の大きさなどの観点から代表的な18件をまとめたものだ。
ベライゾンの調査対応チーム マネージング プリンシパル アシシュ・ターパル氏は、「シナリオのうち、12件は過去3年間にベライゾンの調査対応チームが調査した1,175件の案件の60%以上を占める典型的な事例であり、残りの6件は一般的ではないものの、非常に危険度の高い事例だ」と説明する。各シナリオで解説される事例では、匿名性を守るために企業名や損失額といった詳細情報が一部変更されているものの、基本的にはケースファイルの情報をそのまま使用しているという。
Data Breach Digestの冒頭では、業界別にPOSシステムへの侵入やWebアプリへの攻撃、スキミングといった脅威パターンの発生率を一覧表にまとめ、関連するシナリオを明示している。
 |
|
Data Breach Digestにまとめられている業界別の脅威 |
ターパル氏は、「すべての企業は『もしデータ漏洩/侵害が起こったらどうするか』を常に検討しておかねばならない」と強調する。データの漏洩やサイバー攻撃は、どんなに予防策を講じていても絶対に発生しなくなるわけではないからだ。具体的には、そうした事態が発生した際の方針を策定しておいたり、あらかじめインシデント対応プロバイダーと契約したりといった事前準備が考えられるだろう。さらに大切なのは、それらの対策を定期的に見直し、改善しながら続けていくことである。「これさえやっておけばよい」という”特効薬”はない。
「Data Breach Digestは、ITの専門家やセキュリティ担当者以外の方にもぜひ読んでほしい。自分たちがデータ漏洩/侵害に関与してしまったり、巻き込まれたりする可能性を自覚し、リスク評価を行って対応を考えてみていただきたい。事例を知ることで、潜在的な問題に気づいてもらえた例もある」(ターパル氏)
なお、現状は英語版のみの提供となる。
