Check Point Press Releases

チェック・ポイント、社内からのデータ漏えいを警告 49分に1回の頻度で機密データが組織外に送信されていると発表

2014年7月24日

インターネットをセキュアにする世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ株式会社(本社:東京都新宿区、代表取締役社長 堀昭一)は本日、昨今の大規模データ漏えい事件を受け、グローバルでは49分に1回の頻度で組織の機密データが組織外に送信されている事実を発表し、データ漏えいを警告しました。

チェック・ポイントが有する各種機関とサービスの共同調査および122ヶ国の9,000以上のセキュリティ・ゲートウェイから、のべ200,000時間以上のネットワーク・トラフィックをモニターした調査に基づく「チェック・ポイント セキュリティ・レポート2014年版」によれば、組織の機密データは49分に1回の頻度で組織外に送信されているとのことです。米国ではアドビシステムズやTarget、eBayなどの著名企業で数百万人の顧客に影響を及ぼした大規模なデータ侵害インシデントですが、日本では業務委託者によるデータの売買という特徴的な要素が加わっているといえます。

米国および日本における主なデータ漏えい事件
企業名 (国)/年度 内容 規模
eBay (米国)/2014 氏名/暗号化されたパスワード/E メールアドレス/住所/電話番号/生年月日のユーザ情報が漏えいした 1億4,500万のすべてのユーザに対してパスワードを変更するように、ホームページなどで呼びかけ
Target (米国)/2013 正体不明のハッカーにクレジット・カードの番号を盗むように設計されたマルウェアを仕掛けられた 4,000万件に及ぶカード情報、7,000万件の個人情報
アドビシステムズ(米国)/2013 ユーザの名前とID、暗号化したパスワード、暗号化したクレジット・カード/デビットカード番号、有効期限などのデータに攻撃者がアクセス 約3,800万人のアクティブ・ユーザについて、Adobe IDと、その時点では有効だった暗号化パスワードが攻撃者のアクセスを受けた
ベネッセ(日本)/2014 業務委託者が貸与されたパソコンに顧客情報をダウンロードして持ち出した 確認されているだけで顧客情報約760万件が漏えい、最大2,260万件と過去最大
大日本印刷/2007 業務委託先の元社員が不正に持ち出し、インターネット通販詐欺グループなどに売り渡した 合計43社、約864万件(BIGLOBEの会員情報21万件、auの加入者情報11万件含む)

本レポートでは産業界の88%の組織が情報漏えいインシデントにつながる問題が1件以上発生したと回答しており、これは2012年の54%から大きく増加しています。産業界のみに限らず、従来、外部の攻撃の標的にさらされてきた金融や官公庁においても、2012年と比較するとさらに割合を伸ばしています【図表5-1】

2013年の調査では、社員によって外部に送信されていた情報の種類を見ると、最も多く組織外に送信されている情報はソースコードで、前年比の1.5倍と急拡大しています。ソースコードや業務データ記録などは組織の資産として常に攻撃者によって狙われています。これまで金融機関やヘルスケア企業には、顧客データや患者データを保護する目的 で厳格な外部規制が課せられていましたが、製造やエネルギー・インフラ、輸送、さらにはエンターテインメントなどの業種にとって予防的なデータ・セキュリティ対策はほぼ無縁の存在でした。最近では、こうした業種の組織に対する、マス・カスタマイゼーションによるマルウェア攻撃や標的型攻撃が増加しています。【図表5-2】

さらに日本でチェック・ポイントが独自に実施した「企業のセキュリティ対策に関する緊急アンケート」によると、セキュリティ対策機能や運用における課題として、4割(38.4%)が「社員や利用者への教育」を挙げました。(グラフ1)

グラフ 1:貴社のセキュリティ対策機能や運用における課題は何ですか(複数選択可)

また、これから対策を強化するものとして3割(26.9%)が「データ流出防止対策」と回答しています。(グラフ2) 

グラフ 2:これから対策を強化するものを教えてください(複数選択可)

これらを考え合わせると、セキュリティ対策の重要度が認知されるにつれ、外部からの攻撃に対してはある程度の整備が進んでいるものの、内部からのリスクという課題には着手されておらず、課題が外部からの脅威から、より企業内部へとシフトしてきている状況が明らかになったといえます。例えば、意図した相手への間違ったファイルの送信や、セキュリティ対策が不十分なノートPCを公共の場に置き忘れるといった人為的なミスなどもインシデントの多くの割合を占めています。しかし不正な思惑があろうとなかろうと、情報漏えいの結果は同じです。機密情報がリスクにさらされ、顧客の怒りを買い、社会的信用は失墜、さらにはコンプライアンス違反の罰金を科せられて、業務停止に追い込まれる場合も少なくありません。情報漏えいのインシデントが大規模化するにつれ、企業には専門的な知識とナレッジの蓄積が豊富なセキュリティ専門家のコンサルティングがますます必要となっています。

グラフ1、2 出典:「企業のセキュリティ対策に関する緊急アンケート」
(調査期間:2014年3月31日~4月24日、回答者:中~大規模の一般企業勤務の情報システム担当者やITサービス・プロバイダー、有効回答件数:145件、調査協力機関:リクルート・キーマンズネット)

「チェック・ポイント セキュリティ・レポート2014年版」は下記からダウンロードいただけます。
http://www.checkpoint.co.jp/campaigns/2014-security-report/

組織環境のセキュリティ・リスクの実態が確認可能なセキュリティ分析サービス「Security Checkup」の詳細については、https://www.checkpoint.co.jp/campaigns/schedule-security-checkup/index.html をご覧ください。

「チェック・ポイント セキュリティ・レポート2014年版」について
「チェック・ポイント セキュリティ・レポート2014年版」は、世界各国の組織で発生したネットワーク・セキュリティ・イベントについての知見と、これらの脅威に対して推奨されるセキュリティ対策をまとめた報告書です。このレポートは、Check Point Security Checkup assessments、Check Point Threat Emulationセンサー、 Check Point ThreatCloud™、Check Point エンドポイント・セキュリティレポートから収集されたデータによる共同調査、および各種業種の996企業、9,000以上のセキュリティ・ゲートウェイから、のべ200,000時間以上のネットワーク・トラフィックをモニターした調査と分析に基づいています。

チェック・ポイントの最新情報:
Twitter: www.twitter.com/checkpointjapan
Facebook: https://www.facebook.com/checkpointsoftware
YouTube: http://www.youtube.com/user/CPGlobal

Check Point Software Technologies Ltd.について

チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド(www.checkpoint.com)は、インターネット・セキュリティにおけるトップ企業として、セキュリティの複雑さと総所有コスト(TCO)を低減しつつ、あらゆるタイプの脅威からお客様のネットワーク環境を確実に保護するための妥協のないセキュリティ機能を実現しています。チェック・ポイントは、FireWall-1と特許技術のステートフル・インスペクションを開発した業界のパイオニアです。チェック・ポイントは、革新的セキュリティ技術であるSoftware Bladeアーキテクチャをベースとした一層の技術革新に努めています。Software Bladeアーキテクチャは、導入先に合わせカスタマイズすることで、あらゆる組織のセキュリティ・ニーズにも的確に対応できる、柔軟でシンプルなソリューションの構築を可能にします。チェック・ポイントは、技術偏重から脱却してセキュリティをビジネス・プロセスの一環として定義する唯一のベンダーです。チェック・ポイント独自のビジョン3D Securityは、ポリシー、ユーザ、実施という3つの要素を統合して情報資産の保護を強化し、導入環境のニーズに合わせて高度なセキュリティを確保できるようにします。チェック・ポイントは、Fortune 100社およびGlobal 100企業の全社を含む、何万ものあらゆる規模の企業や組織を顧客としています。数々の受賞歴のあるチェック・ポイントのZoneAlarmソリューションは、世界中で何百万にも及ぶお客様のPCをハッカー、スパイウェア、および情報窃盗から未然に保護しています。

チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は、1997年10月1日設立、東京都新宿区に拠点を置いています。