データ漏洩とは、個人データ(社会保障番号、銀行口座番号、医療データ)や企業データ(顧客データ記録、知的財産、財務情報)を含む機密データや機密情報に、権限のない第三者がアクセスするセキュリティ事故を指しています。
「データ侵害」および「侵害」という用語は、多くの場合、「サイバー攻撃」と同じ意味で使用されます。しかし、すべてのサイバー攻撃がデータ侵害であるわけではありません。また、すべてのデータ侵害がサイバー攻撃であるわけでもありません。
データ侵害には、データの機密性が侵害されるセキュリティ侵害のみが含まれます。そのため、例えばウェブサイトを圧倒する分散型サービス妨害(DDoS)攻撃は、データ侵害ではありません。しかし、企業の顧客データをロックし、身代金が支払われない場合はデータを売却すると脅すランサムウェア攻撃はデータ侵害です。ハードドライブ、サムドライブ、さらには機密情報を含む紙ファイルの物理的な盗難も同様です。
AI と自動化を使用している企業での侵害のコストは、それらのツールを使用していない組織での侵害に比べて 300 万ドル低くなります。
IBMの「Cost of a Data Breach 2022」レポートによると、データ侵害の世界平均コストは435万米ドルで、米国におけるデータ侵害の平均コストはその2倍以上の944万米ドルです。レポートで調査対象となった組織の 83% が複数のデータ侵害を経験しました。
大企業、中小企業、公共企業、民間企業、連邦政府、州政府、地方自治体、非営利団体など、あらゆる規模と種類の組織が侵害に対して脆弱です。しかし、データ侵害の影響は、医療、金融、公共部門などの分野の組織にとって特に深刻です。政府機密、患者の健康情報、銀行口座番号、ログイン認証情報など、これらの企業が扱うデータの価値は高く、これらの企業が情報漏洩の際に直面する厳しい規制上の罰金や罰則は、情報漏洩のコストをさらに高くしている。 たとえば、IBM のレポートによると、医療データ侵害の平均コストは 1,010 万ドルで、これはすべての侵害の平均コストの 2 倍以上です。
データ侵害のコストはいくつかの要因から発生しますが、そのいくつかは他の要因よりも驚くべきものです。その結果、ビジネス、収益、顧客の損失により、データ侵害の被害者は平均 142 万ドルの損害を被ることになります。ただし、侵害の検出と封じ込めにかかるコストはわずかに高く、平均 144 万米ドルです。また、侵害後の費用には、罰金、和解金、訴訟費用から報告コスト、影響を受けた顧客からの無料信用監視の提供に至るまで、あらゆるものが含まれ、データ侵害の被害者は平均 149 万米ドルかかります。データ侵害の報告要件は、特にコストと時間がかかる場合があります。
- 2022年米国重要インフラ向けサイバーインシデント報告法(CIRCIA)は、国家安全保障、金融、重要製造業、その他の指定業種の組織に対し、個人データまたは事業運営のいずれかに影響を及ぼすサイバーセキュリティインシデントを72時間以内に国土安全保障省に報告することを義務付けています。
- 医療保険の相互運用性と説明責任に関する法律(HIPPA)の対象となる米国の組織は、保護された医療情報が漏洩した場合、米国保健社会福祉省、影響を受ける個人、および(場合によっては)メディアに通知しなければなりません。
- 米国の 50 州すべてにも独自のデータ侵害通知法があります。
- 一般データ保護規則 (GDPR) は、EU 国民と取引する企業に対し、違反を 72 時間以内に当局に通知することを義務付けています。罰金、和解、弁護士費用の支払いから、影響を受ける顧客への無料の信用監視の提供まで、このような報告およびその他の侵害後の責任により、データ侵害の被害者は平均149万米ドルの費用を負担しています。
データ漏えいの原因は次のとおりです。
- 悪意のない間違い - 従業員が機密情報を間違った人に電子メールで送信するなど
- 悪意のある内部関係者 - 怒っている従業員または解雇された従業員、または部外者からの賄賂に影響されやすい貪欲な従業員
- ハッカー - データを盗むために意図的なサイバー犯罪を行う悪意のある部外者。
ほとんどの悪意のある攻撃は、金銭的利益を動機としています。 ハッカーは、クレジットカード番号、銀行口座、またはその他の財務情報を盗んで、人々や企業から直接資金を流出させる可能性があります。 個人情報の盗難(ローンを組み、被害者の名前でクレジットカードを開放する)を目的として、個人情報(PII)(社会保障番号と電話番号)を盗んだり、ダークウェブで売ったりする可能性があります。ダークウェブでは、社会保障番号1件あたり1米ドル、パスポート番号あたり2,000米ドル(リンクはibm.com外にあります)。 サイバー犯罪者は、個人情報や盗んだ認証情報をダークウェブ上の他のハッカーに売ることもあり、ハッカーはそれらを悪意のある目的に利用する可能性があります。
データ侵害には他の目的がある場合があります。不誠実な組織は、競合他社から企業秘密を盗むかもしれない。 国民国家の主体は、政府システムに侵入して、機密の政治取引、軍事作戦、または国家インフラに関する情報を盗む可能性があります。一部の侵害は純粋に破壊的なものであり、ハッカーは機密データを破壊または改ざんするためだけにアクセスします。このような破壊的な攻撃は、「Cost of a Data Breach 2022」報告書によると、侵害の17%を占めており、多くの場合、組織に損害を与えようとする国家行為者やハクティビスト集団の仕業である。
「2022 年のデータ侵害のコスト」レポートによると、データ侵害の平均ライフサイクルは 277 日です。これは、組織がアクティブな侵害を特定して封じ込めるまでにそれだけの時間がかかることを意味します。
内部または外部の攻撃者によって引き起こされる意図的なデータ侵害は、同じ基本パターンに従います。
- 研究: ハッカーはターゲットを探し、ターゲットのコンピュータ システムや従業員の悪用できる弱点を探します。また、以前に盗んだ情報マルウェアを購入して、ターゲットのネットワークへのアクセスを許可する可能性もあります。
- 攻撃: ターゲットと方法が特定されると、ハッカーは攻撃を開始します。ハッカーは、ソーシャル エンジニアリング キャンペーンを開始したり、ターゲット システムの脆弱性を直接悪用したり、盗んだログイン資格情報を使用したり、その他の一般的なデータ侵害攻撃ベクトルを利用したりする可能性があります (下記を参照)。
- データの侵害: ハッカーは目的のデータを特定し、行動を起こします。これは、使用または販売のためにデータを抜き出すこと、データを破壊すること、またはランサムウェアでデータをロックして支払いを要求することを意味する場合があります。
悪意のある攻撃者は、さまざまな攻撃ベクトルまたは手法を使用してデータ侵害を実行する可能性があります。最も一般的なものは次のとおりです。
2022 年のデータ侵害のコストによると、認証情報の盗難または侵害が最も一般的な初期攻撃ベクトルであり、データ侵害の 19 パーセントを占めています。ハッカーは、ブルート フォース攻撃を使用したり、ダークウェブから盗んだ認証情報を購入したり、従業員をだましてソーシャル エンジニアリング攻撃を通じて認証情報を暴露させたりすることにより、認証情報を盗んだり侵害したりする可能性があります。
ソーシャル エンジニアリングは、人々を心理的に操作して、知らず知らずのうちに情報セキュリティを侵害する行為です。ソーシャル・エンジニアリング攻撃の最も一般的なタイプであるフィッシングは、データ漏えいの攻撃ベクトルとしても2番目に多く、漏えいの16%を占めている。 フィッシング詐欺は、詐欺的な電子メール、テキスト メッセージ、ソーシャル メディア コンテンツ、または Web サイトを使用して、ユーザーをだまして資格情報を共有したり、マルウェアをダウンロードさせたりします。
2022 年のデータ侵害のコストによると、企業がランサムウェア侵害を特定して封じ込めるまでに平均 326 日かかります。X-Force Threat Intelligence Index 2023によると、ランサムウェアの実行までの平均時間は2019年の60日以上から、2021年にはわずか3.85日にまで減少している。 ランサムウェア関連の侵害の平均コストは 454 万ドルですが、これには数千万ドルに達する可能性がある身代金の支払いは含まれていません。
サイバー犯罪者は、Web サイト、オペレーティング システム、エンドポイント、および Microsoft Office や Web ブラウザなどの一般的に使用されるソフトウェアなどの IT 資産の弱点を悪用して、ターゲット ネットワークにアクセスする可能性があります。ハッカーは脆弱性を見つけると、それを利用してネットワークにマルウェアを注入することがよくあります。スパイウェアは、被害者のキーストロークやその他の機密データを記録し、ハッカーが運用するコマンド&コントロール サーバーに送り返すもので、データ侵害に使用される一般的なタイプのマルウェアです。
ターゲット システムに直接侵入するもう 1 つの方法である SQL インジェクションは、セキュリティで保護されていない Web サイトの構造化照会言語 (SQL) データベースの弱点を利用します。ハッカーは Web サイトの検索フィールドに悪意のあるコードを入力し、データベースにクレジット カード番号や顧客の個人情報などの個人データを返すよう促します。
ハッカーは従業員のミスを利用して機密情報にアクセスする可能性があります。たとえば、IBM の「2022 年データ侵害のコスト」レポートによると、侵害の 15% でクラウドの構成ミスが最初の攻撃ベクトルとして機能しました。従業員は、データを安全でない場所に保存したり、ハード ドライブに機密情報が保存されたデバイスを置き忘れたり、誤ってネットワーク ユーザーに過剰なデータ アクセス権限を付与したりすることによって、データを攻撃者にさらす可能性もあります。サイバー犯罪者は、一時的なシステム停止などの IT 障害を利用して、機密データベースに侵入することもあります。
攻撃者は、従業員の業務用または個人用のデバイスを盗んで、その中に含まれる機密データにアクセスしたり、会社のオフィスに侵入して紙文書や物理的なハードディスクを盗んだり、物理的なクレジットカードやデビットカードのリーダーにスキミングデバイスを設置して、個人の支払いカード情報を収集したりする可能性があります。
いくつかの例は、データ侵害の原因とコストの範囲を示しています。
- TJX:TJ MaxxとMarshallsの親会社であるTJX Corporationが2007年に起こした情報漏えいは、当時、米国史上最大かつ最も多額の費用がかかった消費者データ侵害であり、9,400 万件もの顧客記録が侵害され、2 億 5,600 万米ドルを超える経済的損失が発生しました。ハッカーは、店舗のレジとバックエンド システムを接続する無線ネットワークを解読することで、データにアクセスしました。
- Yahoo: 2013 年、Yahoo は史上最大と思われるデータ侵害に見舞われました。ハッカーは同社の Cookie システムの弱点を悪用して、Yahoo の 30 億人全員のユーザーの名前、生年月日、電子メール アドレス、パスワードにアクセスしました。侵害の全容は、Verizonが同社の買収交渉を進めていた2016年まで明らかになりませんでした。その結果、Verizon は買収提案を 3 億 5,000 万ドル削減しました。
- Equifax: 2017 年、ハッカーが信用調査会社 Equifax 信用調査会社に侵入し、1 億 4,300 万人以上のアメリカ人の個人データにアクセスしました。ハッカーは Equifax の Web サイトにあるパッチが適用されていない脆弱性を悪用してネットワークにアクセスし、その後他のサーバーに横方向に移動して社会保障番号、運転免許証番号、クレジット カード番号を見つけ出しました。この攻撃により、Equifax には、和解金、罰金、および侵害の修復に関連するその他の費用を合わせて 14 億ドルの費用がかかりました。
- SolarWinds: 2020年、ロシアの国家関係者がソフトウェアベンダーSolarWindsをハッキングすることでサプライチェーン攻撃を実行しました。ハッカーたちは、組織のネットワーク監視プラットフォームである Orion を使用して、SolarWinds の顧客にマルウェアを密かに配布しました。ロシアのスパイは、ソーラーウィンズのサービスを利用して、財務省、司法省、国務省を含むさまざまな米国政府機関の機密情報にアクセスすることができた。
- Colonial Pipeline:2021年、ハッカーがコロニアルパイプラインのシステムにランサムウェアを感染させたため、同社は米国東海岸の燃料の45%を供給するパイプラインを一時的に停止せざるを得なくなりました。ハッカーは、ダークウェブで見つかった従業員のパスワードを使用してネットワークに侵入しました。Colonial Pipeline Company は 440 万ドルの身代金を暗号通貨で支払ったが、連邦法執行機関はその支払いのうち約 230 万ドルを回収することができた。
標準的なセキュリティ対策-定期的な脆弱性評価、定期的なバックアップ、静止時および転送時のデータの暗号化、適切なデータベース設定、システムやソフトウェアのタイムリーな適用-は、データ漏洩を防止し、データ漏洩が発生した場合の打撃を和らげるのに役立ちます。しかし今日、組織は、データ侵害をより適切に防止し、データ侵害が引き起こす損害を軽減するために、より具体的なデータ セキュリティ制御、テクノロジー、ベスト プラクティスを実装する可能性があります。
インシデント対応計画。 組織のインシデント対応計画(IRP)は、サイバー脅威を検出、封じ込め、根絶するための青写真であり、データ侵害の被害を軽減する最も効果的な方法の1つです。「データ侵害のコスト 2022 年」レポートによると、インシデント対応計画を定期的にテストし、正式なインシデント対応チームを持つ組織の平均データ侵害コストは 326 万米ドルで、インシデント対応チームと計画を持たない組織のデータ侵害の平均コストよりも 266 万米ドル少なくなっています。
AIと自動化 。 データ侵害のコスト2022レポートでは、組織が脅威の検出と対応に高レベルの人工知能(AI)と自動化を適用している平均データ侵害コストは、これらのテクノロジーのレベルが低い組織よりも55.3%低いこともわかりました。SOAR(セキュリティオーケストレーション、自動化、対応)、UEBA(ユーザーとエンティティの行動分析)、EDR(エンドポイントの検出と対応)、XDR(拡張検知と対応)などのテクノロジーは、AIと高度な分析を活用して、データ侵害につながる前に脅威を早期に特定し、より迅速でコスト削減の対応を可能にする自動化機能を提供します。
従業員トレーニング。 ソーシャル・エンジニアリングやフィッシング攻撃は情報漏えいの主な原因であるため、これらの攻撃を認識し回避するための従業員トレーニングを行うことで、企業の情報漏えいリスクを低減することができます。また、データを適切に取り扱うよう従業員を教育することで、偶発的なデータ漏洩やデータ漏えいを防ぐことができます。
アイデンティティとアクセス管理(IAM)。 強力なパスワードポリシー、パスワードマネージャー、 二要素認証(2FA) または 多要素認証(MFA)、 シングルサインオン(SSO) 、およびその他の アイデンティティとアクセス管理(IAM)の 技術と実践は、最も一般的なデータ侵害の攻撃ベクトルである、盗難または漏洩した認証情報を使用するハッカーから組織をよりよく防御するのに役立ちます。
ゼロ・トラスト・セキュリティ・アプローチ。 ゼロ・トラスト ・ セキュリティ アプローチとは、ネットワークの外部にいようと、すでに内部にいようと、すべてのユーザーやエンティティを決して信用せず、継続的に検証する ものであり、具体的には、ゼロ・トラストは以下を必要とします。
- 継続的な認証、認可、検証:ネットワークやネットワークリソースにアクセスしようとする者は、潜在的に危険または悪意があるものとして扱われ、アクセスを獲得または維持するためには、継続的で文脈に沿った認証、認可、検証の課題に合格しなければなりません。
- 最小特権アクセス: 検証が成功すると、ユーザーまたはエンティティには、タスクを完了するか役割を果たすために必要な最低レベルのアクセスと権限が付与されます。
- すべてのネットワークアクティビティを包括的に監視:ゼロ・トラストの実装には、ユーザーやエンティティが役割に基づいてリソースとどのようにやり取りするか、どこに潜在的な脆弱性が存在するかなど、組織のハイブリッドネットワークエコシステムのあらゆる側面を可視化する必要があります。
これらの制御は、データ侵害やその他のサイバー攻撃を初期段階で特定して阻止し、ネットワークにアクセスするハッカーや攻撃の移動と進行を制限することで、これらを阻止するのに役立ちます。
統制された最新セキュリティースイートで脅威に打ち勝つQRadar ポートフォリオにはエンタープライズグレードの AI が組み込まれており、エンドポイントセキュリティ、ログ管理、SIEM、SOAR 用の統合製品を提供しており、すべて共通のユーザーインターフェース、共有された洞察、接続されたワークフローを備えています。
オンプレミスまたはハイブリッドクラウドに実装された IBM データセキュリティーソリューションは、サイバー脅威の調査と修復、リアルタイム制御の実施、規制遵守の管理のための優れた可視性と洞察を得るのに役立ちます。
プロアクティブな脅威ハンティング、継続的な監視、脅威の詳細な調査は、すでに多忙な IT 部門が直面している優先事項のほんの一部にすぎません。信頼できるインシデント対応チームを待機させると、対応時間が短縮され、サイバー攻撃の影響が最小限に抑えられ、より迅速な復旧が可能になります。