[画像のクリックで拡大表示]
A Comparison of DBIR with UK breach report」より
February 16,2010,Posted by Dave Hylender and Christopher Porter

 しばらく前に当ブログで英セブン・セイフの「UK Security Breach Investigations Report(英国における情報漏えい調査報告書)」(PDF形式)を簡単に紹介した(関連ブログ記事:「7Safe Security Breach Investigations Report」)。この報告書の公表後もほかのセキュリティ関連企業が同様のレポートを出したが(米マンディアンおよび米トラストウェイブ/関連ブログ記事:「Recently published data breach studies」)、我々の「Data Breach Investigations Report(DBIR:データ漏えい侵害調査報告書)」の比較対象としてはセブン・セイフの報告書が適している。というのも、セブン・セイフは英国に注目して調査を行ったからだ(DBIRで取り上げたデータ流出事例の大半は米国で起きたものだが、欧州(およびその他地域)の事例も多く、増加傾向にある)。実際には、「米国におけるデータ流出事例はかなり特殊で、ほかの国・地域と比べてみても意味がない」とする意見は少なくない。それでも筆者は、セブン・セイフの報告書に見るべき情報が含まれると考えている。そこで、DBIRの結果とセブン・セイフが行った英国発の調査を全体的に比べてみよう。

 最初に調査対象を確認しておこう。セブン・セイフは最近18カ月の事例62件について調べている。

 セブン・セイフの取り上げた事例は、当社のDBIRより小さな規模の企業に偏っているようだ。


 データ流出の多い業界は、セブン・セイフの報告書だと「小売り(69%)」、「金融(7%)」の順。2009年版DBIRも順番は同じだが、割合が異なる(小売りは31%、金融は30%)。


 データ流出原因の分類方法はほぼ同じで、集計結果も非常によく似ている。いずれも「外部からの攻撃」が最多で(セブン・セイフは80%、DBIRは74%)、次が「パートナ」(セブン・セイフは18%、DBIRは32%)、最も少ないのが「内部からの攻撃」(セブン・セイフは2%、DBIRは20%)という順番になった。DBIRと同様の結果になった調査は、セブン・セイフが初めてでない点も注目に値する(2009年版「Supplemental DBIR(DBIR補足)」(PDF形式)の追加部分で行った「DatalossDB」との比較を参照してほしい)。


 攻撃の発生源はDBIRが地域別、セブン・セイフが国別に集計しているため比較が難しく、似ているところもあれば相違点もある。セブン・セイフの結果は予想がつく通り、西欧からの攻撃の割合が最も多かった。いずれの調査でも北米からの攻撃が目立つ(セブン・セイフは米国をワースト1とした)。これに対し、大きな相違は東南アジア発の攻撃だ。セブン・セイフは東南アジア(ベトナム/シンガポール/インドネシア)からも多く攻撃を仕掛けられたとしているが、DBIRの調査では東南アジアからの攻撃は90件中3件に過ぎない。さらにセブン・セイフのデータには、東アジア(つまり中国)発の攻撃が全く見られない。


 攻撃でよく使われる侵入方法については、似たような結果となった。このことから、初期設定パスワードを変えることが重要な対策といえるだろう。


 攻撃の難易度を示す方法はセブン・セイフとDBIRやや異なっている。ただし、上述した攻撃発生源の集計で米国のデータが似たような結果だったのと同様、両調査とも攻撃の大半が複雑でないと見ている。高度な攻撃の割合は、セブン・セイフが27%、DBIRが17%だ。


 両調査を比べて驚いたのは、クレジットカード業界向け情報セキュリティ規格PCI DSS(Payment Card Industry Data Security Standard)未準拠として挙げられたセブン・セイフの上位5項目が、DBIRの上位5個と全く同じだったことだ。偶然にしては出来過ぎた結果なので(12個の事例から5個が一致した)、セキュリティ面で注意すべき項目であると考えられる。


 両調査とも、流出したデータの量は多くの事例でレコード数が10万件未満だった。10万レコードを超える流出事例はセブン・セイフの調査だと少ないが(14%)、それなりにある。


 セブン・セイフの調査とDBIRは流出データの分類方法が異なるため、本来は同じはずのデータなのに比べにくい。ただし、どちらも支払いカード関連データの流出が圧倒的に多かった(セブン・セイフが85%、DBIRが81%)。分類方法が違うせいで、特に取り上げるべき項目は少ない。唯一注目したいのは、セブン・セイフの調査で流出データの3%を占める知的財産が、DBIRでは13%となっている点だ。


 セブン・セイフの調査で気に入ったのは、データを保存する環境や保存/処理する場所に着目していることだ。それによると、流出したデータの46%が共有ホスティング環境、43%が専用ホスティング環境、11%が社内環境にあったという。我々は2009年に同様のデータの集計を始めたので、2010年版DBIRに結果を記載できるだろう。

 英国と米国という二つの調査結果を比較して最終的に興味深かったのは、大西洋を挟む二つの国でそれらがほぼ一致したことだ。現在、企業活動は国境を越えて広がるし、犯罪活動も同様だ。DBIRやセブン・セイフの調査結果などを読んだら、どこの国のユーザーであっても「似た手口で攻撃を仕掛ける共通の敵に狙われている」ということを肝に銘じておいてほしい。得られた知識の共有は、自分たちの利益や資産を一致団結して守るのに必要不可欠である。


Copyrights (C) 2010 Verizon Business. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ベライゾン ビジネスの許可を得て,米国本社のSecurity Solution部門の担当者が執筆するブログSecurityBLOGの記事を抜粋して日本語化したものです。オリジナルの記事は,「A Comparison of DBIR with UK breach report」でお読みいただけます。