データ侵害とは? 答えは簡単です。データ侵害とは、権限のない第三者が機密データにアクセスした場合に発生するものです。
次に何が起こるかは、それほど単純ではありません。攻撃者はその機密データを変更したり、削除したりすることができます。あるいは、データを外部に持ち出し、他者と共有することもできます。こうした行為はどれも、侵害を受けた組織に深刻な悪影響を及ぼします。
この記事では、その脅威に対して何ができるかを扱います。また、データ侵害への対応だけでなく、組織全体で連携した対応戦略を策定する重要性についても説明します。データ侵害に効果的に対応するには、組織内の複数部門にまたがる人材・プロセス・テクノロジーを統合して連携させる必要があります。データ侵害への対応は、発生前の準備や予防策から始まります。
データ侵害とは
データ侵害には多様な形態があります 情報機関によって行われるものなど、秘密性の高い場合もあります。たとえば、中国の情報機関の工作員が航空宇宙企業のシステムを侵害し、F-35戦闘機のデジタル設計図を不正に持ち出したとされています。その攻撃は、発生後しばらくの間、標的企業に発覚しませんでした。
攻撃者が機密情報や不都合な情報を公に漏洩させるなど、すぐに発覚する攻撃もあります(例:ウィキリークス)。
データ侵害の目的の一つとしてデータの窃取がありますが、データベースにマルウェアを仕込むこともあります。ランサムウェアがデータ侵害の際にインストールされる可能性があります。即時に公に行われる場合もあれば、作動するまで密かに潜伏している場合もあります。こうした攻撃では、標的のデータが暗号化され、身代金が要求されます。
データ侵害の主な原因
攻撃者はデータ侵害を行う際、利用できる攻撃手法が多岐にわたります。
盗まれた認証情報:攻撃者は、不適切なパスワード管理を悪用したり、フィッシングを通じて正規ユーザーのアカウントを不正に取得することがあります。
ブルートフォース攻撃:攻撃者は、正規ユーザーの認証情報を推測するために試行錯誤を行い、システムへのアクセスを試みます。
中間者攻撃: 攻撃者はネットワークを介して通信を傍受し、システム間を移動するデータにアクセスします。
ソーシャルエンジニアリング:攻撃者は、人間の心理や操作ミスを利用して、ユーザーから直接認証情報を取得します。
データ侵害が企業活動に与える影響
データ侵害は、企業にとって甚大な被害となることがあります。あるいは、比較的軽微な問題にとどまる場合もあります。しかし、たとえ軽微な侵害であっても、影響を受けたシステムの修復や主要関係者への通知などの対応が必要です。
いずれにせよ、データ侵害への対応には、多大な作業と相応のコストが伴います。
費用のかかる侵害対応業務には、以下のようなものがあります。
攻撃の発生源と、システムやデータへの影響に関するフォレンジック分析
影響を受けたシステムの修復
侵害によって削除または変更されたデータの復元
侵害の範囲と影響を受ける関係者(顧客やパートナーなど)の特定
CCPA違反に対する カリフォルニア州などの政府機関、顧客、保険会社など、関係各所への通知
EUのGDPR違反などに伴う罰金の支払い
法的責任の有無の判断
顧客、メディア、投資家からの問い合わせ対応
これらの対応にかかる費用は、非常に大きくなることがあります。 IBMの調査によると、2023年のデータ侵害による平均被害額は445万ドルに達しており、過去3年間で15%増加しています。
また、これらの費用には、深刻な影響を及ぼす可能性のある評判リスクは含まれていません。 例えば、信頼を基盤にブランドを築いてきた金融機関が、ハッカーによる顧客データ損失への対応を誤れば、市場からの信頼を失う可能性があります。さらに、規制上の罰金も大きくなる可能性があり、例えばGDPR違反は最大1,000万ユーロにのぼる可能性があります。加えて、データ侵害の報告や対応に関連する規制の範囲は、拡大し続けています。
データ侵害対応計画の必要性
445万ドルもの費用を投じたり、通常の業務を中断したりする事態を避けるためには、組織として一貫性のあるデータ侵害対応計画を策定・実行することが不可欠です。
データ侵害対応計画は必須です。計画がなければ、廃業に追い込まれかねない危機に対して台本なしで対応することになります。侵害に対して何の備えもないままその時を迎えれば、 場当たり的な 対応を余儀なくされます。その結果、対応期間の長期化、被害の拡大、コストの増大を招く可能性があります。
優れた計画があれば、侵害による法的責任や規制上の影響をある程度軽減することができます。また、この計画は、機密データの取り扱いにおけるセキュリティへの取り組みや「適正注意義務(Due Care)」の実践を示すものでもあります。あらゆる組織はいつか侵害に直面する可能性が高いため、計画はその際の対応プロセスを従業員に示す指針となります。これにより、対応は可能な限り効率的かつコストを抑えて行うことができます。
データ侵害対応計画は、全体的な 事業継続計画の一部となり得ます。
データ侵害対応計画の4つの重要な要素
効果的なデータ侵害対応計画を構成する要素とは何でしょうか? 計画は組織ごとの固有のニーズに適応させるためそれぞれ異なりますが、最善の計画には類似するテンプレートが共通して存在します。大まかに言えば、それらの計画は侵害自体のプロセスに沿っており、攻撃が発生する前のイベントから始まります。データ侵害対応計画の4つの重要な要素は以下の通りです。
準備
侵害の防止は、強力で全体的なサイバーセキュリティ対策から始まります。環境への侵入が困難であれば、侵害のリスクを低減したことになります。
機密データ検出のような、侵害に備えた対策を導入することも有効です。どのデータをどこに保有しているかを把握しておくことは、侵害発生時に非常に役立ちます。また、ユーザーの役割や権限、誰がどのデータにアクセスできるかを正確に把握しておくことも重要です。
さらに、組織のサイバーセキュリティ戦略を具体的なサイバーレジリエンス手順に落とし込むことができる専門家の支援を受けることも推奨されます。サイバーインシデントが発生した場合 ( 調査が示すように、サイバーインシデントは実際に発生する可能性が高い)、冷静さを保ち、計画に従うことが不可欠です。
その計画の重要な部分を担うのが、優れた バックアップおよび復元システム を導入しておくことです。そうすることで、データが破損したり使用不能になったりした場合でも、運用を迅速に復帰させ、再び稼働させることができます。自動化されたランブックがあれば、サイバーセキュリティチームは「サイバーリカバリの開始」というラベルの付いた大きなボタンを押すことで、ミッションクリティカルな機密データを復元できます。その後、隔離された復元先に格納されているデータは、サイバーセキュリティ計画に従って本番環境にコピーして戻すことができます。
侵入する脅威の回避と無害化
侵害に備えることは、データを危険にさらす可能性のある脅威を検出して特定できることをも意味します。これにはデータ脅威分析が含まれ、脅威監視テクノロジーを活用して脅威の特定を行います。
たとえば、 Rubrikの脅威監視 を行うシステムは、最新の脅威インテリジェンスフィードを使用して、バックアップ内の侵害の痕跡を自動的に特定できます。このように働きかければ、インフラストラクチャに潜むマルウェアを 特定することが可能です。 脅威特定 では、バックアップスナップショットを分析し、データ復元中に再感染につながる可能性のあるマルウェアを発見します。並行して、このプロセスは復元に使用するための感染していないスナップショットを探します。
侵害に成功した攻撃の封じ込めと根絶
侵害が発生した場合、攻撃の被害範囲(「影響範囲」)を 可能な限り限定し、影響を受けた資産を把握することが重要です。
次に封じ込めの段階へ進みます。これは、悪意ある行為やマルウェアがさらなる被害を及ぼす経路を遮断することを目的としています。例えば、攻撃者が1つのSQL Serverインスタンスを侵害した場合でも、他のインスタンスに横移動できないようにすることが望まれます。
この目標を達成するには、ネットワークのセグメント化または ゼロトラストアーキテクチャの導入が有効です。ゼロトラスト環境では、ユーザーは最小限の範囲のデータ資産にしかアクセスできません。これにより、侵害の影響を最小限に抑えられます。
復元と修正
侵害が発生した場合は、迅速かつ完全な復旧が求められます。しかし、侵害よりも前から存在していた脆弱性やエクスプロイトを再混入させることなく、企業データの最新バージョンを復元するにはどうすればよいでしょうか? ここで、バックアップおよび復旧システムの選択が重要になります。
適切なソリューションは、迅速な復元を可能にするものです。ランサムウェアの場合、データの エアギャップ コピーを維持していれば、身代金を支払わずに復元できる可能性があります。そうすれば、攻撃者はバックアップデータを取得できません。また、復元システムで脅威を特定し、再感染を防ぐことができます。このような復元ソリューションを導入することで、大きな中断を伴うことなくIT業務を迅速に再開できます。
データ侵害では、フォローアップも欠かせません。攻撃の原因を特定するための徹底的なフォレンジック調査や、侵害を招いた脆弱性を確実に修正するフォローアッププロセスが含まれます。さらに、サイバー防御の強化もフォローアップの一環です。 加えて、「インプラント(不正マルウェア)」の有無を詳細に調査することも重要です。ランサムウェアなどを使うサイバー攻撃者は、再侵入して被害を拡大させるために、マルウェアを潜伏させることが少なくありません。こうした埋め込まれた脅威を早期に発見し、排除することが最善です。
データ侵害対応の5つの優良事例
サイバーセキュリティの現状には複雑な側面があります。これまでに多数のデータ侵害が発生しており、それに基づく豊富な実務指針をデータ侵害対応に活用できます。しかし、あらゆる対応に 共通する1つの要素があります。それは、侵害対応の際に人材と組織的要因に注目することです。対応プロセスでは、企業の各部門の人材が協力して円滑に連携することが求められます。そして、コミュニケーションは不可欠です。
具体的な指針:
タイムリーであること: 理想的には、侵害が深刻な損害を与える前に対応することですが、そうでなくても、迅速に状況を把握できることが重要です。その上で、必要な復旧措置を速やかに実行し、主要な関係者に通知するほど、すべての関係者にとって望ましい結果となります。
定期的なテストの実施: 組織内のテクノロジーが変化し、従業員の役割も変わっていくため、侵害対応のプロセスをテストし、それに応じて内容を更新することが不可欠です。
コンプライアンスの維持: 関連するコンプライアンスルールに従い、義務付けられた報告を行っていれば、例えば強力なアクセス制御の導入などを通じて、データ侵害の影響を軽減するための相当な対策をすでに講じていることがわかります。
データの監視: 常にデータを監視し、侵害が発生しようとしていることを示す異常やその他の兆候がないか確認してください。
常に改善し続ける: 他の事例に学び、データ侵害に対応する能力の向上に努めてください。
データ侵害の事例: ランサムウェアの軽減
ワシントン州で 35,000人の顧客にサービスを提供しているルイス郡公益事業体 (LCPUD) は、2019 年にランサムウェア攻撃の標的となりました。ほぼ瞬時に同事業体のデータは暗号化され、攻撃者は復号化のために1,000万ドルという身代金を要求しました。しかし、同事業体は以前から Rubrik Security Cloudを導入していたため、壊滅的な影響は最小限に抑えられました。
Rubrik Security Cloud により、LCPUD のデータは書き換え不可の形式でバックアップされていました。攻撃者はそれを暗号化または削除できなかったため、データは安全で、簡単に復旧できました。その結果、データは安全で簡単に復旧でき、すべてのシステムはわずか2時間で稼働状態に戻りました。
データ侵害対応の未来
攻撃者は止まることがないため、データ侵害対応も常に進化し続ける必要があります。将来のデータ侵害では、より高度で検出が困難な脅威だけでなく、新たな恐喝手法も登場すると考えられます。単純な暗号化型ランサムウェア攻撃は急速に、多面的な恐喝型攻撃へと移行しつつあります。例えば、二重脅迫型攻撃では、ハッカーがデータを暗号化するだけでなく、盗んだデータを販売する可能性があります。三重脅迫型攻撃では、ランサムウェアによる要求に加えて、サービス拒否(DoS)攻撃やその他の妨害行為が行われることもあります。
避けられない侵害に備える
リスクは高いと言えます データ侵害は、ほぼ避けられないと言っても過言ではありません。脅威は深刻であり、侵害への対応コストも非常に高くなります。こうした理由から、十分に検討され、テスト済みのデータ侵害対応計画を策定し、事前に備えることが最善の方法です。Rubrik Security Cloud がお役に立ちます。Rubrikは、データの保護、リスクの監視、データやアプリケーションの迅速な復旧を可能にし、ビジネスの継続と成長を支援します。