ベライゾン 2018年度データ漏洩/侵害調査報告書のハイライト
ベライゾンが、ちょうど第11回年報のデータ漏洩/侵害調査報告書(DBIR)を公開しました。この報告書は、実際に起こるデータ漏洩/侵害やセキュリティ・インシデントに関する情報で構成されており、企業やセキュリティ専門家にサイバーセキュリティの状況に関するデータを提供しています。今年は、53,000件のインシデントと2216件のデータ漏洩が分析されています。こちらで、その報告書の重要ポイントをいくつかご紹介いたします。
誰がデータ漏洩/侵害行為を行なっているのか?
ほとんどのデータ漏洩/侵害は外部からの攻撃により起こりますが、なんとその三分の一がシステム内部に原因があるのです。国家的支援活動が大幅に低くなっている一方で、組織化された犯罪グループは50%のデータ漏洩/侵害行為を起こしています。
データ漏洩/侵害の被害者とは?
データ漏洩/侵害の被害は、58%が中小企業となっています。SMBは最大規模のグループであり、かつ最もセキュリティー対策に制約がある企業ですので、驚くことではありません。特にヘルスケア産業はハッカーの注目を集めており、ウェブ市場におけるデータとその価値の機密さで、データ漏洩の標的となっているのです。
データ漏洩/侵害の対策方法とは?
過去を辿ると、その行動の動機は、スパイ行為に次いで金銭的利益によるものです。データ漏洩/侵害の90%以下がこれらの2つの動機で、こちらでも金銭的動機が最も多くなっています。データ漏洩/侵害が目的になる際には、よくマルウェアとハッキングが密接に関連しているのです。ハッキングとマルウェアは、未だにデータ漏洩/侵害に最も使用される方法で、データ盗取として最も一般的な方法は、キーロギングを含むマルウェアをインストールさせることです。ボットネットとランサムウェアは、システムから検出され取り除かれるような対策するべきマルウェアなのです。
データ漏洩/侵害の最大の標的はウェブ アプリケーション
報告書では、ウェブアプリケーション攻撃がデータ漏洩/侵害の多数を占めています。ハッキングに最も使用されている3つのテクニックは、アカウントの乗っ取り、インジェクション攻撃、そしてパストラバーサル攻撃です。これにより、小売から公的機関まで一貫して影響がありますが、特に金融会社やテクノロジー関連会社にその影響が出ます。E-コマース アプリケーションは特に重要な存在となり、利用や統合、機密情報の損失に対する保護対策を取り、テストを行い、改善されなければなりません。
2018年にセキュリティ対策度を増加させるためにできることとは?
AppSecを充実させること
データ漏洩/侵害が行われる際は、一刻の猶予もありません。悪意のあるアクティビティ(特にソフトウェアアプリケーション内部)に対する監視能力を上げることがその対策となります。よく知られる脆弱性のあるコンポーネンツを使用するアプリケーションやAPIでは、その保護対策を密かにすり抜け、様々な攻撃を受ける可能性が高まります。これらのコンポーネントを取り除くか、アップグレードし、常に監視を行いましょう。
二要素認証 (2FA)を設定する
ウェブアプリケーションまたはデータベースを運営する企業内で二段階・複数段階認証を取り入れましょう。可能であれば、あなたの組織内の全ユーザーを対象に二段階認証を設置してください。
ご自身または企業内でのセキュリティチェック
一般的なセキュリティ対策のチェックリストを日常的に取り入れ、実行し、システム管理者に自身で構築するシステムはパッチを適用するためにあり、適時に更新が行われることを確認してもらいましょう。また、できるだけ自動化を行い、現在多く見られる不正行為に繋がる人為的エラーを減らし、攻撃者が不適当な設定方法を見つける前に日常的にスキャンを行いましょう。
極秘情報を全ネットワークから分離する
機密度の高いデータを全ネットワークから分離させておくことも良い対策です。絶対にデータが必要な人のみにアクセスを許可したり、データが不審な操作で複製、移動、アクセスされていないか確認を行うモニターを設置しましょう。
53,000件のインシデントや2200件の不審行為が報告されている中、するべきでないこと、またはせめて注意するべきことはお分かりになると思います。こちらの無料でダウンロードできる報告書を読むことをお勧めします:
https://www.verizonenterprise.com/verizon-insights-lab/dbir/
Templarbitは、世界中の企業のAppSecに対する懸念に歩み寄り、より強力なソリューションの構築に取り組んでいます。弊社は、皆さんがセキュリティ対策として取り組んでいることや時間をかけていることについてお話を伺い、その課題に対して共にどのように取り組んでいけるか検討したいと考えています。お問い合わせは、こちらのE-メールアドレスまで。our contact form