データ漏洩とは、個人データ(社会保障番号、銀行口座番号、医療データ)や企業データ(顧客データ記録、知的財産、財務情報)を含む機密データや機密情報に、権限のない第三者がアクセスするセキュリティ事故を指しています。
「データ侵害」および「侵害」という用語は、多くの場合、「サイバー攻撃」と同じ意味で使用されます。しかし、すべてのサイバー攻撃がデータ侵害であるわけではありません。また、すべてのデータ侵害がサイバー攻撃であるわけでもありません。
データ侵害には、データの機密性が侵害されるセキュリティ侵害のみが含まれます。そのため、例えばウェブサイトを圧倒する分散型サービス妨害(DDoS)攻撃は、データ侵害ではありません。しかし、企業の顧客データをロックし、身代金が支払われない場合はデータを売却すると脅すランサムウェア攻撃はデータ侵害です。ハードドライブ、サムドライブ、さらには機密情報を含む紙ファイルの物理的な盗難も同様です。
AI と自動化を使用している企業での侵害のコストは、それらのツールを使用していない組織での侵害に比べて 300 万ドル低くなります。
IBMの「Cost of a Data Breach 2022」レポートによると、データ侵害の世界平均コストは435万米ドルで、米国におけるデータ侵害の平均コストはその2倍以上の944万米ドルです。レポートで調査対象となった組織の 83% が複数のデータ侵害を経験しました。
大企業、中小企業、公共企業、民間企業、連邦政府、州政府、地方自治体、非営利団体など、あらゆる規模と種類の組織が侵害に対して脆弱です。しかし、データ侵害の影響は、医療、金融、公共部門などの分野の組織にとって特に深刻です。政府機密、患者の健康情報、銀行口座番号、ログイン認証情報など、これらの企業が扱うデータの価値は高く、これらの企業が情報漏洩の際に直面する厳しい規制上の罰金や罰則は、情報漏洩のコストをさらに高くしている。 たとえば、IBM のレポートによると、医療データ侵害の平均コストは 1,010 万ドルで、これはすべての侵害の平均コストの 2 倍以上です。
データ侵害のコストはいくつかの要因から発生しますが、そのいくつかは他の要因よりも驚くべきものです。その結果、ビジネス、収益、顧客の損失により、データ侵害の被害者は平均 142 万ドルの損害を被ることになります。ただし、侵害の検出と封じ込めにかかるコストはわずかに高く、平均 144 万米ドルです。また、侵害後の費用には、罰金、和解金、訴訟費用から報告コスト、影響を受けた顧客からの無料信用監視の提供に至るまで、あらゆるものが含まれ、データ侵害の被害者は平均 149 万米ドルかかります。データ侵害の報告要件は、特にコストと時間がかかる場合があります。
データ漏えいの原因は次のとおりです。
ほとんどの悪意のある攻撃は、金銭的利益を動機としています。 ハッカーは、クレジットカード番号、銀行口座、またはその他の財務情報を盗んで、人々や企業から直接資金を流出させる可能性があります。 個人情報の盗難(ローンを組み、被害者の名前でクレジットカードを開放する)を目的として、個人情報(PII)(社会保障番号と電話番号)を盗んだり、ダークウェブで売ったりする可能性があります。ダークウェブでは、社会保障番号1件あたり1米ドル、パスポート番号あたり2,000米ドル(リンクはibm.com外にあります)。 サイバー犯罪者は、個人情報や盗んだ認証情報をダークウェブ上の他のハッカーに売ることもあり、ハッカーはそれらを悪意のある目的に利用する可能性があります。
データ侵害には他の目的がある場合があります。不誠実な組織は、競合他社から企業秘密を盗むかもしれない。 国民国家の主体は、政府システムに侵入して、機密の政治取引、軍事作戦、または国家インフラに関する情報を盗む可能性があります。一部の侵害は純粋に破壊的なものであり、ハッカーは機密データを破壊または改ざんするためだけにアクセスします。このような破壊的な攻撃は、「Cost of a Data Breach 2022」報告書によると、侵害の17%を占めており、多くの場合、組織に損害を与えようとする国家行為者やハクティビスト集団の仕業である。
「2022 年のデータ侵害のコスト」レポートによると、データ侵害の平均ライフサイクルは 277 日です。これは、組織がアクティブな侵害を特定して封じ込めるまでにそれだけの時間がかかることを意味します。
内部または外部の攻撃者によって引き起こされる意図的なデータ侵害は、同じ基本パターンに従います。
悪意のある攻撃者は、さまざまな攻撃ベクトルまたは手法を使用してデータ侵害を実行する可能性があります。最も一般的なものは次のとおりです。
2022 年のデータ侵害のコストによると、認証情報の盗難または侵害が最も一般的な初期攻撃ベクトルであり、データ侵害の 19 パーセントを占めています。ハッカーは、ブルート フォース攻撃を使用したり、ダークウェブから盗んだ認証情報を購入したり、従業員をだましてソーシャル エンジニアリング攻撃を通じて認証情報を暴露させたりすることにより、認証情報を盗んだり侵害したりする可能性があります。
ソーシャル エンジニアリングは、人々を心理的に操作して、知らず知らずのうちに情報セキュリティを侵害する行為です。ソーシャル・エンジニアリング攻撃の最も一般的なタイプであるフィッシングは、データ漏えいの攻撃ベクトルとしても2番目に多く、漏えいの16%を占めている。 フィッシング詐欺は、詐欺的な電子メール、テキスト メッセージ、ソーシャル メディア コンテンツ、または Web サイトを使用して、ユーザーをだまして資格情報を共有したり、マルウェアをダウンロードさせたりします。
2022 年のデータ侵害のコストによると、企業がランサムウェア侵害を特定して封じ込めるまでに平均 326 日かかります。X-Force Threat Intelligence Index 2023によると、ランサムウェアの実行までの平均時間は2019年の60日以上から、2021年にはわずか3.85日にまで減少している。 ランサムウェア関連の侵害の平均コストは 454 万ドルですが、これには数千万ドルに達する可能性がある身代金の支払いは含まれていません。
サイバー犯罪者は、Web サイト、オペレーティング システム、エンドポイント、および Microsoft Office や Web ブラウザなどの一般的に使用されるソフトウェアなどの IT 資産の弱点を悪用して、ターゲット ネットワークにアクセスする可能性があります。ハッカーは脆弱性を見つけると、それを利用してネットワークにマルウェアを注入することがよくあります。スパイウェアは、被害者のキーストロークやその他の機密データを記録し、ハッカーが運用するコマンド&コントロール サーバーに送り返すもので、データ侵害に使用される一般的なタイプのマルウェアです。
ターゲット システムに直接侵入するもう 1 つの方法である SQL インジェクションは、セキュリティで保護されていない Web サイトの構造化照会言語 (SQL) データベースの弱点を利用します。ハッカーは Web サイトの検索フィールドに悪意のあるコードを入力し、データベースにクレジット カード番号や顧客の個人情報などの個人データを返すよう促します。
ハッカーは従業員のミスを利用して機密情報にアクセスする可能性があります。たとえば、IBM の「2022 年データ侵害のコスト」レポートによると、侵害の 15% でクラウドの構成ミスが最初の攻撃ベクトルとして機能しました。従業員は、データを安全でない場所に保存したり、ハード ドライブに機密情報が保存されたデバイスを置き忘れたり、誤ってネットワーク ユーザーに過剰なデータ アクセス権限を付与したりすることによって、データを攻撃者にさらす可能性もあります。サイバー犯罪者は、一時的なシステム停止などの IT 障害を利用して、機密データベースに侵入することもあります。
攻撃者は、従業員の業務用または個人用のデバイスを盗んで、その中に含まれる機密データにアクセスしたり、会社のオフィスに侵入して紙文書や物理的なハードディスクを盗んだり、物理的なクレジットカードやデビットカードのリーダーにスキミングデバイスを設置して、個人の支払いカード情報を収集したりする可能性があります。
いくつかの例は、データ侵害の原因とコストの範囲を示しています。
標準的なセキュリティ対策-定期的な脆弱性評価、定期的なバックアップ、静止時および転送時のデータの暗号化、適切なデータベース設定、システムやソフトウェアのタイムリーな適用-は、データ漏洩を防止し、データ漏洩が発生した場合の打撃を和らげるのに役立ちます。しかし今日、組織は、データ侵害をより適切に防止し、データ侵害が引き起こす損害を軽減するために、より具体的なデータ セキュリティ制御、テクノロジー、ベスト プラクティスを実装する可能性があります。
インシデント対応計画。 組織のインシデント対応計画(IRP)は、サイバー脅威を検出、封じ込め、根絶するための青写真であり、データ侵害の被害を軽減する最も効果的な方法の1つです。「データ侵害のコスト 2022 年」レポートによると、インシデント対応計画を定期的にテストし、正式なインシデント対応チームを持つ組織の平均データ侵害コストは 326 万米ドルで、インシデント対応チームと計画を持たない組織のデータ侵害の平均コストよりも 266 万米ドル少なくなっています。
AIと自動化 。 データ侵害のコスト2022レポートでは、組織が脅威の検出と対応に高レベルの人工知能(AI)と自動化を適用している平均データ侵害コストは、これらのテクノロジーのレベルが低い組織よりも55.3%低いこともわかりました。SOAR(セキュリティオーケストレーション、自動化、対応)、UEBA(ユーザーとエンティティの行動分析)、EDR(エンドポイントの検出と対応)、XDR(拡張検知と対応)などのテクノロジーは、AIと高度な分析を活用して、データ侵害につながる前に脅威を早期に特定し、より迅速でコスト削減の対応を可能にする自動化機能を提供します。
従業員トレーニング。 ソーシャル・エンジニアリングやフィッシング攻撃は情報漏えいの主な原因であるため、これらの攻撃を認識し回避するための従業員トレーニングを行うことで、企業の情報漏えいリスクを低減することができます。また、データを適切に取り扱うよう従業員を教育することで、偶発的なデータ漏洩やデータ漏えいを防ぐことができます。
アイデンティティとアクセス管理(IAM)。 強力なパスワードポリシー、パスワードマネージャー、 二要素認証(2FA) または 多要素認証(MFA)、 シングルサインオン(SSO) 、およびその他の アイデンティティとアクセス管理(IAM)の 技術と実践は、最も一般的なデータ侵害の攻撃ベクトルである、盗難または漏洩した認証情報を使用するハッカーから組織をよりよく防御するのに役立ちます。
ゼロ・トラスト・セキュリティ・アプローチ。 ゼロ・トラスト ・ セキュリティ アプローチとは、ネットワークの外部にいようと、すでに内部にいようと、すべてのユーザーやエンティティを決して信用せず、継続的に検証する ものであり、具体的には、ゼロ・トラストは以下を必要とします。
これらの制御は、データ侵害やその他のサイバー攻撃を初期段階で特定して阻止し、ネットワークにアクセスするハッカーや攻撃の移動と進行を制限することで、これらを阻止するのに役立ちます。
統制された最新セキュリティースイートで脅威に打ち勝つQRadar ポートフォリオにはエンタープライズグレードの AI が組み込まれており、エンドポイントセキュリティ、ログ管理、SIEM、SOAR 用の統合製品を提供しており、すべて共通のユーザーインターフェース、共有された洞察、接続されたワークフローを備えています。
オンプレミスまたはハイブリッドクラウドに実装された IBM データセキュリティーソリューションは、サイバー脅威の調査と修復、リアルタイム制御の実施、規制遵守の管理のための優れた可視性と洞察を得るのに役立ちます。
プロアクティブな脅威ハンティング、継続的な監視、脅威の詳細な調査は、すでに多忙な IT 部門が直面している優先事項のほんの一部にすぎません。信頼できるインシデント対応チームを待機させると、対応時間が短縮され、サイバー攻撃の影響が最小限に抑えられ、より迅速な復旧が可能になります。