データ漏洩とは？

Techopediaによると、データ漏洩とは、サーバや個人のコンピュータからデータが不正にコピー、転送、または取得されることです。一方、情報漏洩とは、企業が保有しているデータが外部に流出することを指します。問題となるデータは、会社またはその従業員の個人的な機密情報である可能性があります。価値のあるデータを保有する企業は、外部の脅威であれ、信頼できる内部の人間であれ、この手の攻撃を受ける危険性が高い傾向にあります。

内部脅威のインシデントは、悪意の有無に関わらず、データ漏洩の大きな原因の1つです。悪質な内部脅威は、自分 (または他人) の利益のために意図的に組織に損害を与えようとしている個人による行為です。しかし、内部脅威のインシデントの2/3は偶発的なものであり、これらのミスを調査するのに時間がかかりすぎると、組織にとって同様に大きな損害となる可能性があることに注意する必要があります。

データ漏洩は、企業にとって最大の関心事と言っても過言ではありません。米マカフィー社の最新の調査によると、セキュリティ専門家の61％が、在籍している会社でデータ侵害を経験しています。また、GDPRやカリフォルニア州消費者プライバシー法など、データプライバシーに関するコンプライアンス規制が強化されたことで、データ漏洩の報告にかかる費用も格段に高くなっています。

前述のマカフィー社の調査によると、組織における最も一般的なデータ漏洩のパターンは以下の通りです。

• データベースの漏洩
• ネットワークトラフィック
• ファイル共有
• 社内メール

クラウドアプリとデータベース

CA Technologiesの内部脅威に関するレポートによると、データベースは、ファイルサーバ、クラウドアプリケーション、モバイルデバイス以上に脆弱なITアセットとされています。データベースに含まれるデータは非常に貴重であるため、内部の人間だけでなく外部の攻撃者からもよく狙われてしまいます。

リムーバブルストレージ デバイス

リムーバブルデバイスは、内部脅威のもうひとつの一般的なアプローチです。ユビキタスなクラウドストレージの時代になっても、フラッシュドライブを使用するようなアナログなデータ漏洩はいまだに普及しています。すべての組織でUSBの使用を完全に禁止することは現実的ではありませんが、従業員はリスクを理解し、データへのアクセスと保存に関するポリシーを遵守する必要があります。

北米ではファイル共有が最も多いデータ漏洩手段であるのに対し、アジア太平洋地域とヨーロッパでは、主な漏洩手段はUSBメモリです。

不注意による内部脅威

データ漏洩の主な原因としては、悪意のあるユーザー以外に、意図せず起きてしまう内部脅威が考えられます。 フィッシングメールやソーシャルエンジニアリングによる攻撃は、ハッカーが企業データにアクセスするための常套手段です。また、予測可能なパスワードや使い回しのパスワード、多要素認証の欠如などは、ハッカーがターゲットのアカウントに侵入する際によく見られる脆弱性です。このようなケースでは、サイバーセキュリティに対する意識こそが最大の防御となります。マカフィーの調査では、メールによるデータ漏洩も内部脅威として頻繁に起きています。

データの不正使用

最近のVerizon Insider Threat Reportによると、データ漏洩の原因として、不正使用も上位に挙げられています。これは、不注意による内部脅威とは異なり、ユーザが意図的または無意識のうちにセキュリティ管理やポリシーを回避しようとする場合に起こります。例えば、従業員が社外の請負業者と仕事をする際に、より速く、より簡単に使用できるという理由で、認可されていないソフトウェアを使用し、意図せずにデータの漏洩を招いてしまうことがあります。

また、従業員は、個人のメールアカウント、クラウドストレージ、プリンタ、ファイル共有サイト、キーボードショートカットなど、さまざまな方法で企業データを漏洩する可能性があります。企業にとって、ユーザーの正当な行動と悪質な行動を区別するのは難しいですが、このような場合には、ユーザーの行動の一貫性を検証するシステムを導入することが有効です。

多くの企業は、データ漏洩を防止するために、情報漏洩対策 (DLP)ソリューションなど既存のセキュリティ対策に注目しています。これらのツールは、特定のケースでは効果的ですが、内部脅威によるデータ漏洩を検知するには不十分であることが多いと言えます。

例えば、法人用のDLPソリューションは、データ使用ポリシーの違反を検出し、データの損失を防ぐために組織毎に設定されることが一般的です。導入には、重要なデータを見つけ、分類し、理解するための、大規模なデータを取り扱う「分類プロセス」を伴います。これらの設定は、ニーズの変化に合わせて継続的に管理する必要があり、機密データのソースや定義が適切に更新されるように、ルール設定には微調整が求められます。

実際には、これらのDLPソリューションは、組織にとって初期設定や運用が難しく、エンドポイントに負担がかかり、さらにはユーザーに不満が残ります。また、DLPが適切に管理されていないと、新しいテクノロジーが組織に追加されたときに、それらが漏洩してしまう可能性があります。さらに、DLPがユーザーの生産性を低下させている場合、ユーザーはDLPを回避しようとする可能性があります。DLPシステムは、エンドユーザーによる文書の分類やタグ付けに依存していますが、一部の従業員は、許可された使用の自由を維持するために、意図的に誤解を招くようなタグを追加することがあります。

DLPソリューションの代替または補完として、組織はデータ漏洩の防止に特化した内部脅威対策ソリューションを採用する必要があります。DLPソリューションとは異なり、Proofpointのような内部脅威対策プラットフォームは、ユーザーとデータの監視を組み合わせて管理しています。DLPやその他のツールはデータのみに焦点を当てていますが、ユーザーのアクティビティ監視は、誰が、いつ、何をしているかという状況を提供するのに役立ちます。

一般的なセキュリティ対策ツールの多くは外部に向けて行われているため、ユーザーとデータのアクティビティを監視するソリューションがあれば、他のソリューションでは検出できないような、疑わしいユーザーの行動を事前に検出できます。内部脅威は、「内部関係者によって起きる」という特質上、セキュリティチームがユーザーのアクティビティを可視化し、インシデントが意図的なものか悪意のあるものかを証明できる他のデータと照らし合わせない限り、検知されないことがよくあります。Proofpoint Insider Threat Managementのようなプラットフォームでは、内部脅威の兆候を検知したら即座にチームに警告し、ユーザーアクティビティのタイムラインと詳細なビデオ再生を提供することで、調査を迅速に行うことができます。

企業はもはや、資産であるデータを野ざらしにしておくことはできません。一般的なデータ漏洩の対処法を学んだ上で、偶発的な脅威を抑制するために適切なポリシーとトレーニングを実施し、専用の内部脅威管理ソリューションを導入して、適切な水準でインシデントの兆候を把握しなければなりません。Proofpointのサンドボックス環境をお試しになりたい方は、お気軽にご連絡ください。ダウンロードやインストールの必要はありません。