「データ漏洩や侵害被害10件のうち9件は、基本的な対策を徹底していれば回避できた。企業はデフォルトのままの認証情報の変更やアプリケーションのテストの徹底など、基本対策を改めて見直してほしい」――。ベライゾンビジネス日本法人のヴェニュ・サティラジュグローバルサービス本部長(写真)は2009年4月23日、米本社がまとめたデータ漏洩、侵害に関する調査結果を踏まえて注意喚起した。
今回の注意喚起は09年4月15日に発表した「2009年データ漏洩/侵害調査報告書」を基に行われた。調査では08年に漏洩した電子データ件数が2億8500万件以上で過去4年間の合計を上回ったこと、被害の90%に犯罪組織グループが関与していたことなどが明らかになった。データ漏洩の大半はハッキングとマルウエアによるものという傾向は変わっておらず、「デフォルトのままの認証情報を利用した攻撃やSQLインジェクションが多かった」(サティラジュ本部長)。
データ漏洩や侵害被害の発生から発覚までに要する時間は数カ月が49%と最も高く、発覚までの期間が長いことを問題視する。さらに被害の約70%は第三者からの通報によって発覚しており、イベント監視やログ解析による発覚は6%だった。「2、3人のスタッフが30台あるサーバーの監視や解析を兼務している企業もあるが、作業が追いつかないだろう。完全な専任スタッフを確保するか外部委託などにより、監視体制を徹底するべき」とサティラジュ本部長は指摘した。
報告書を踏まえた推奨事項として「デフォルトの認証情報の変更や、認証情報の共有禁止」「アプリケーションのテストとコードの見直し」「ログの記録と監視」などを挙げた。「99.999%の安全性を確保するには多額の投資が必要になる。企業は企業として保護するべき情報を複数のレイヤーに分け、各レイヤーで80%の基本対策を講じて99.9%の安全性を確保することが重要だ」とサティラジュ本部長は強調した。
