BUSINESS

ビジネス

GDPRの施行に伴うPIIデータの新たなる危機とは?注目されるセキュリティ対策

GDPRの施行に伴い、EUのみならず世界中の企業がサイバーセキュリティ―に注目している中で、EU加盟国の市民のPIIデータ個人情報)の価値が上がっている。これは、サイバー犯罪者にとって新たな好機が訪れようとしているということにもなるのだ。
EU加盟国の市民のPIIデータを持つ企業は今のセキュリティ対策に加え、どういった対策が必要になるのかを考えていかなければいけないだろう。


PIIデータが人質に!?

GDPR では、データの収集をする企業に対し、従業員、顧客すべてのPIIの保護を義務付けているため、EU加盟国において個人情報の収集や処理をするすべての組織においてこれらが適用される。また、これらは第三者にも適用されるため、違反した際には、高額な違反金を支払わなければならない。
GDPRの施行によって、PIIの保護が行き届いていない企業がサイバー犯罪の標的となることが考えられる。個人情報が人質になり、「ゆすり」とも取れる行為が横行することは容易に想像がつく。
サイバー犯罪者が企業に侵入し、PIIを盗み、「GDPRの監督機関に通報する」などといい、脅迫行為が行われるかもしれない。
倫理上、このような行為が行われたのなら、企業は監督機関や関係各所に通知しなければならない。
しかしそれが企業にとって重要な時期だったら、企業はしかるべき行動がとれるのだろうか。犯罪者の性質上、「PIIデータを全て預かっている」と言われても、真実はわからない。しかしながら企業にとって、この事実が公になるよりも、身代金を払って事を穏便に済ませられるのなら、という誘惑にかられてしまうこともあるのではないだろうか。


実際に起こったサイバー攻撃とは?

旅行会社大手JTBのオンラインサービスから793万件の個人情報が流出したとされる事件がある。社員が標的型攻撃メールを開いたことによるウイルス感染が原因だ。この手口が巧妙で、実在する取引先企業のメールアドレスで、航空券の偽装PDFファイルを送って、開く必要のあるメールだと思わせる内容だったという。
この事件によって、今までの企業情報流出事件以上に標的型攻撃メールの手口が巧妙になっているという事、また、個人情報の管理が企業にとっていかに重要なものかということが浮き彫りになった。
このため企業では外部からのウイルス感染を最小限にする仕組みや、感染自体を素早く気付くための仕組みが必要不可欠となるだろう。そして、最重要事項として、顧客情報のあるデーターベースへのアクセスを制限、また、端末がウイルス感染したとしてもデータ流出を防ぐといったシステムが必要となることが考えられる。


巧妙化するサイバー攻撃への対応策とは?

今までのセキュリティ対策で重要視されてきたのは、どのような攻撃に対しても侵入を許さないようにファイアウォールやスパムフィルターといった対策をとることだった。
しかしこれでは最新のサイバー攻撃には対応できない。そこで発想の転換をして、「侵入を許したとしても、機密情報を絶対に漏らさない」という事だけに重点を絞った対策が行われるようになった。
JTBの例からも分かるように、社員のだれか一人でも標的型攻撃メールを開いてしまったら、もう侵入は防ぎようがない。そこで、大切なのはあくまで機密情報を絶対に漏らさないということなのだ。例えば、不審な動きをするプログラムを監視するサンドボックス型の標的型攻撃対策や、データ内部まで確認できるWAF設置などして情報漏えいがないように見張る。このようなツールはすでにソリューションとしてコンサルティングとセットで提供されるようになっている。


サイバー攻撃に対する内部強化が重要

内部管理において、最も重要と言えるのがログ監視だ。権限のない人間がデーターベースサーバにアクセスしている場合に警告を発したり、また社内犯行であっても逃したりすることはない。
また、浸透してきている対策として、ファイルの暗号化もあげられる。これは個人情報といった機密情報を外部に持ち出されても、解読できないように暗号をかけておくというもの。
そして、重要視されるようになった対策としては特権ID管理がある。これも内部犯行の防止に効果的だが、手作業で行う特権ID管理はもう限界になりつつあり、専用ツールを使用しての管理に移行する企業が増えている。
多層防御を用いて、内部強化を図ることが必須である。
しかし、もはやマルウェアの侵入は防ぎようがなくなってきている。そこで企業側も後手に回るのではなく、先手を打たなければならないのだ。
最近では企業の内部組織においても注目が集まっている。近年目にするCSIRTとはセキュリティ上でインシデントが発生した場合に対応する内部組織の事を指す。サイバー攻撃を仕掛けられたときに設置する対策本部とは違い、あらかじめサイバー攻撃を想定して組織しておくことで、いち早く被害の拡大や情報の収集、再発防止に向けての対策を立てることができるのだ。
この組織は、多くの場合、システム運行などの業務を行っている人が担当しており、通常業務として企業内でセキュリティに関する教育や広報といったことも行う。ほぼすべての企業において、インターネットの取り扱いやセキュリティ上のルールがあるが、これをしっかり守らせるのもCSIRTの役割だ。
身内を疑えと言いたいわけではないが、どこから情報がもれるか分からないと肝に銘じておかなくてはならない。そのために万全の対策を練るのが企業の責任である。漫然とした管理体制ではいつ危機にさらされるか分からないのだ。


最後に

まだまだセキュリティ対策に重きを置かない企業も多い。サイバー犯罪というと今までは大手企業ばかりが攻撃を受けていた印象だが、GDPRの施行によってそれも変化してくるだろう。
今までもセキュリティ対策は行っていただろうが、最新版へのアップデートや社内に専門部署を置くなどのしっかりとした対策が必要となることが考えられる。


<参考・参照元>
GDPR がサイバー犯罪者に好機をもたらす | The State of Security
侵入されることを前提にするサイバー攻撃対策|ITトレンド
JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口 : 科学 : 読売新聞(YOMIURI ONLINE)

あわせて読みたい記事!