データ侵害の定義
データ侵害とは、セキュリティインシデントの一種で、許可を得ていない個人またはグループにより、組織のデータが盗まれる、または不法にコピー、表示、リリースされることを意味しています。標的とされるデータの一般的な形式には、個人を特定できる情報(PII)、機密情報、財務情報、その他の機密資料が含まれます。
データ侵害はどのように発生するか
機密データを持つ組織は、規模や業界セクターに関係なく、データ侵害の対象となる可能性があります。攻撃方法はさまざまですが、データ侵害には大きく分けて次の4つの段階があります。
| 1. 計画 | 2. 侵入 | 3. ポジショニング | 4. 流出 |
|---|---|---|---|
| 脅威アクターは、標的の組織を調査して研究し、システムを探って脆弱性を特定します。 | 弱点が特定されると、脅威アクターはフィッシングなどのアクセス戦術を使用してシステムに侵入します。 | 次に、脅威アクターは必要に応じて被害者組織のネットワークを移動し、標的データを収集します。 | システムからデータがコピーまたは取得されます。これは、最初の侵入の直後に行われることもあれば、数か月後に行われることもあります。 |
このサイクルを進めてデータを取得するため、脅威アクターは数多くの戦術を利用します。一般的な方法は次のとおりです。
認証情報の窃盗または侵害:攻撃者は、ログイン名やパスワードなど正当なユーザーの認証情報を入手し、標的システムにアクセスします。
フィッシング:ソーシャルエンジニアリングを利用した悪意のあるEメールで、読者を操作し、認証情報やより大規模なコンピューターネットワークへのアクセスなどの機密情報を提供させます。
サードパーティソフトウェアの侵害:標的となる組織が使用しているソフトウェアの欠陥を悪用します。たとえば、Microsoft Wordのコードの欠陥を利用して、企業のネットワークにアクセスします。
悪意のあるインサイダー:標的組織内の人員が、自分のアクセス権を使用して意図的にデータを盗んだり、他のユーザーがデータを盗むのを手伝ったりします。
偶発的なデータ損失:機密データを誤ってインターネットに公開したり、正当なユーザーが意図せずに自分の認証情報をリリースしたり、機器を紛失したり、その他の事故が発生したりする場合を指します。
2020年に発生した上位5つのデータ侵害
Ponemon Instituteの調査によると、最も一般的な侵害の方法は次のとおりです。
- 19% –認証情報の窃盗または侵害
- 16% –フィッシング
- 15% –クラウドの設定ミス
- 13% –サードパーティソフトウェアの侵害
- 11% – 悪意のあるインサイダー
データ侵害の結果
多くのデータ侵害は、被害者の組織が侵入を検知するまでに数か月続く可能性があり、多くの場合、回復に数百万ドルの費用がかかります。データ侵害による主な結果として、次のようなものが挙げられています。
- 435万ドル:2022年の世界のデータ侵害の平均コストは過去最高です。(IBMのレポート)
- 944万ドル:2022年の米国におけるデータ侵害の平均コストは、どの国よりも高くなっています。
- (IBMのレポート)
- 277日間:2022年にデータ侵害を特定して封じ込めるまでにかかった平均時間。内訳は、侵害の特定に207日、侵害の封じ込めに70日でした。(IBMのレポート)
- 顧客の信頼の喪失と、影響を受けた組織の評判の長期的な損害。
- 事業の継続不能。深刻な遅延や操業の完全な停止を含みます。
- さらなるエクスプロイト。最初のデータ侵害は、組織を標的とする長期間の侵入キャンペーンの最初のステップにすぎない場合があります。
近年の有名なデータ侵害の例
Yahoo、2013年8月:30億のアカウントが影響を受けました。史上最大のデータ侵害と考えられています。2013年には初期評価として当初10億件と発表していましたが、2017年には30億件に増加しました。侵害発生直後の被害を正確に把握することの難しさがうかがえます。ハッカーは、名前、Eメールアドレス、生年月日、パスワードなどのアカウント情報を盗みました。
SolarWinds、2021年4月:同社のOrionソフトウェアの定期更新の1つが、ロシアの諜報機関をサポートするハッカーによる悪意のある侵入戦術であったことが判明しました。Solar Windsは、18,000人の担当者が偽の更新をダウンロードし、約100の企業と12の政府機関が侵害されたと推定しています。
LinkedIn、2021年6月:このビジネス向けネットワーキングソーシャルメディア企業は、7億人のメンバーに関連するデータがダークウェブフォーラムに投稿され、ユーザーベースの90%が影響を受けたことを発見しました。ハッカーグループは、データスクレイピング戦術を実行してLinkedInのAPIを悪用し、Eメールアドレス、電話番号、地理学的レコードなどの情報を取得しました。
データ侵害を防ぐための11のヒント
データ侵害を防ぐための組織のセキュリティ保護と準備は、今すぐ開始すべき作業です。自社が標的にされるかどうかではなく、いつ標的にされるかが問題だからです。
1. データ侵害対応計画を立てる
効果的な計画にするため、ベストプラクティスを確立し、主要な役割と責任を定義し、組織の対応プロセスを定義する必要があります。データの復元とシステムの機密性、整合性と可用性、および保険会社や法執行機関への連絡などの外部要件に重点を置きます。
2. サイバー戦略とロードマップを開発する
組織に対するリスクとサイバーセキュリティ防御とのギャップを理解したら、リスクを軽減するための目標を設定します。これらの取り組みは、全体的なサイバーセキュリティを向上させるための戦略的ロードマップの一部として優先する必要があります。
3. スケーラブルなサイバーセキュリティの専門知識とリソースでITチームを強化する
サイバー人材を見つけるのは難しく、その維持には費用がかかります。専門のセキュリティコンサルタントは、最新の脅威インテリジェンスにアクセスして、サイバーセキュリティをガイドし、侵入や検知されたイベントに対応できます。
4. 重要なデータを特定して分離し、アクセスのログを記録する
リソースは限られているので、ビジネスにとって最も重要なネットワークの領域に集中させてください。最も機密性の高いデータまたはネットワークがどこにあるかを特定し、ログの記録とネットワーク監視を強化します。ネットワークアクセスをアクティブに監視します。
5. ソフトウェア更新の実行
オペレーティングシステムとサードパーティアプリケーションにパッチを適用することは、ネットワークを強化するための、最も安価でありながら、効果的な方法の1つです。強力なパッチ管理プロセスを構築し、重要なセキュリティパッチができるだけ早くインストールされるようにします。旧式のソフトウェアとシステムは更新します。
6. ユーザー認証情報を厳密に管理する
ユーザーアカウントを適切に保護していなかった企業についてのニュースはいたるところで耳にします。パスワードがダークネットで販売されているとの報告は続いています。組織でユーザーアカウントを管理している場合は、パスワードの保存機能に対し監査を行ってください。
7. ログイン時に2要素認証(2FA)を要求する
ネットワークへのリモートアクセスでは、常に2要素認証を要求するべきです。機密性の高い管理者アカウントにも2FAを要求することを検討してください。
8. デフォルトのパスワードを変更する
最も単純な攻撃の1つは、すぐ利用できる製品の出荷時にベンダーが設定している、デフォルトのパスワードを使用することです。デフォルトのパスワード、特にハードウェアデバイス(Wi-Fiルーターなど)のパスワードをそのままにしておくと、重要なデータに直接アクセスできる状態になってしまいます。
9. 実戦的な訓練を行う
机上演習で準備状況をテストすることは、データ侵害に対する運用上の準備に関して大きなメリットをもたらします。役割、責任、および完全なインシデント対応計画のステップに取り組むことで、チームは行動に備え、弱点を特定できます。
10. スタッフを教育する
スタッフのトレーニングと教育は、サイバーセキュリティ能力を強化し、拡張します。侵入の試みを検知するためのプロアクティブなアプローチを確保するために、脅威ハンティングに関するクラスを検討してください。
11. 情報共有を奨励する
侵害をより適切に検知して対応できる組織では、多くの場合、不正対応の部門とITセキュリティ部門が統合されています。組織内での定期的な情報共有を奨励してください。
CrowdStrike Falconでデータを保護
データ侵害は多発しており、組織のセキュリティの強力さは、個々人および組織として脅威を検知する能力によって制限されます。業界をリードするソフトウェアプラットフォームを無料トライアルでお試しください。今すぐデータの保護を始めましょう。
