NRIセキュア社が2017年12月から2018年3月にかけて実施しました調査結果によりますと、「自社において最も脅威となる事象」は何かの質問に対して、日本企業(回答企業数107社)が標的型攻撃による情報漏洩が1位、ランサムウェア被害(情報消失、金銭被害)が2位、内部不正(情報漏洩や業務停止)による被害が3位と回答されました。

1位と2位の標的型攻撃による情報漏洩とランサムウェアによる被害は、日本を含めた調査対象国5か国(米国、英国、シンガポール、オーストラリア)全てに挙げられています。(NRIセキュア社:「企業における情報セキュリティ実態調査2018」調査レポートはこちらからご確認いただけます。)

また、米クラウドセキュリティ企業のアカマイ・テクノロジーズ社が発表しました「インターネットの現状 / セキュリティ」(2017年第1四半期)」レポートでは、攻撃のターゲット上位10か国に日本が1340万件数で4位にランクインされているのが実情です。そのため、自然と標的型攻撃やランサムウェア攻撃に対しての意識が高くなるのではないでしょうか。

2017年にはWannaCryなどのランサムウェア攻撃が世界的に話題となりましたが、標的型攻撃による情報漏洩も引き続き起こっております。実際には、独立行政法人情報処理推進機構セキュリティセンターが今年4月に公表しました「情報セキュリティ大脅威2018」にも1位に標的型攻撃による被害、2位にランサムウェアによる被害が挙げられています。

データ漏洩の通知義務化に対する準備の必要性

「弊社はハッキングの被害により、お客様のデータが漏洩いたしました。大変申し訳ございません。」

企業にとってお客様に最も伝えたくないことは、おそらくこの言葉ではないでしょうか?

もし、企業からこのような連絡を受けた場合、マスメディアに伝われば大々的にニュースで取り上げられ、お客様の多くが離れていくかもしれません。

最近ですと、イオンマーケティング株式会社が、不正アクセスによる被害が発生していると同社ウェブサイトで発表しています。情報漏えい対策、標的型セキュリティ対策についての意識向上の取り組みを色んな企業様が務めておりますが、今でも個人情報漏洩の被害は続いているのが実情です。

そして、顧客データを保護できなかった場合、お客様にデータが漏洩した可能性があることを通知する必要があります。

データ漏洩の通知義務政策の基本情報

日本国内で情報漏洩した場合は個人情報保護委員会へ、速やかに報告するよう努められています。詳細はオフィシャルサイトから(https://www.ppc.go.jp/personal/legal/leakAction/

日本国外では、EUやオーストラリアも同じく以下の通り義務付けられています。

EUは、GDPRにより、EU加盟28カ国の国民と住居者に関わる場合、72時間以内に告知義務があります。オーストラリアは今年の2月から、プライバシー保護法の変更により、不正アクセスが発生した場合は、関係者に通知することが企業に義務付けられました。

データ漏洩の通知義務政策には、通知義務に関する2つの重要なポイントがあります。

・状況を是正して、アクセスされたデータが安全であることを保証できるか

・不正アクセスにより、個人に悪影響が及ぶ可能性があるか

この記事では、社外の第三者による不正アクセスを重点的に取り上げます。

是正できるか?

携帯電話やノートパソコンを紛失したとしても、デバイスは暗号化されているので、使用するにはパスワードの解除が必要になります。

この場合、企業の紛失したデバイスを暗号化して保護するという戦略的な判断によって問題は是正され、誰でもローカルデータにアクセスできないことを保証できるかもしれません。

では、ある社員がメールを開封して、メールに記載されているリンクをクリックしたことにより、マルウェアがダウンロードされてしまい、ハッカーに企業の情報へ侵入され、企業の業務の妨害や脅迫、あるいは情報を売却するために、データが持ち出されるかもしれません。

その場合、企業は顧客データを管理できない状態になり、再び顧客データにアクセスすることも不可能になります。

標的型メールが増えていく一方でこれらは、日々企業が直面している状況であり、ハッカーは企業のデータを持ち出すということのみを目的に、ソーシャルエンジニアリングやフィッシングテクニックを利用してユーザーを標的に攻撃するのです。

そのため、プライバシー法の変更により、悪影響が及ぶ可能性がある場合、損失したデータの対象者に通知することが企業に義務付けられるようになりました。

一例として、以下に関連するデータの損失があげられます。

・患者の仕事への不満やストレスに関する情報を持つセラピスト

・不安定な市場においてサービスプロバイダーの変更を検討している顧客への見積書

・パスポート情報を含む顧客の旅行の詳細

・顧客に送付予定の医療検査の結果

・顧客によって提出された信用調査の詳細

このような情報が公になった場合は、誰かに深刻な影響が及ぶ可能性があります。

データ漏洩通知義務化に向けた準備:予防は必要

どのような企業であっても、企業の評判や口コミは、事業の成功、拡大、成長に直結しています。企業の評判を守るためには、顧客データへの不正アクセスを防ぐことが必要です。

そこで、弊社のセキュリティソリューションを採用することで、企業は以下4つの主要戦略により標的型のサイバー攻撃の85%から自社を保護します。

▼対策詳細(上から順に重要度が高い)

  1. アプリケーションのホワイトリスティング
  2. アプリケーションへのパッチ適用
  3. オペレーティングシステムへのパッチ適用
  4. 管理者権限を最小限に抑えること

上記の戦略は、オーストラリア通信電子局(ASD)が提唱しています。

オーストラリアは、国連機関である国際電気通信連合(ITU)の調査レポートによりますと、サイバーセキュリティへの対策が最も進んでいる国ランキングで上位10カ国(7位)、アジアだけですと3位に入っている国です。セキュリティ対策が進んでいる国のセキュリティ対策を採用するのに損はありません。

ちなみに日本では総務省がサイバー攻撃(標的型攻撃)対策防御モデルの解説に上記のセキュリティ戦略を既にご紹介しています。(総務省のレポートはこちらでご覧いただけます。)

Ivantiは、これら4つの対策すべてを導入するための独自の技術を提供しています。

ベンダー1社で4つすべてのセキュリティ対策を導入することにより、管理を統合できるだけでなく、コスト削減ができます。

現在では、多くの米国州政府、連邦政府、民間企業がIvantiのテクノロジーを導入しています。

Ivantiのエンドポイントセキュリティプラットフォームを使用することで、企業は自社および、ユーザーを不正アクセスから保護しています。

Ivantiにより企業は不正アクセスから守られるので、今後も企業がお客様に伝えたくない、データ流出の連絡を防ぐことができるでしょう。ぜひこの機会に自社のセキュリティ対策・ソリューションをご検討ください。

関連記事として「サイバーセキュリティインシデントを緩和する8つの主要な対策/ESSENTIAL 8」について、ご紹介していますのでこちらからお読みください。

デモのお問い合わせは、こちらからお願いします。