GDPR(EU 一般データ保護規則)の施行に伴い、世界中の組織のサイバーセキュリティが一層注目され、(企業の所在地にかかわらず)EU および英国市民の個人情報(PII)保護が重視されるようになると、サイバー犯罪者にとって、それらの情報の価値はより高まるでしょう。
サイバー犯罪者らの鉄則の 1 つは、「サイバーセキュリティ対策やそのためのトレーニングおよびリソースへの投資を怠っている企業に付け込んで荒稼ぎをするチャンスを見逃さない」ということです。サイバー犯罪が猛威を振るい、ランサムウェアやビジネスメール詐欺(BEC)による損失が拡大するなか、GDPR が今後の動向に変化をもたらすことになるでしょう。
では、主にどのような事柄に留意すべきでしょうか
1. PII データが人質に
GDPR では、データの収集を行う企業に、従業員と顧客両方の PII の保護策を確立・維持・モニタすることを義務付けます。現行のEU加盟国法では、個人情報を収集・処理するのがどの組織であるかにかかわらず、これらの保護措置をその市民に適用しています。データ保護のポリシーは第三者にも適用します。GDPR 違反に対する制裁は、「企業の全年間売上高の 4% または 2,000 万ユーロのいずれか高い方」と高額になるため、抑止効果があると考えられます。
このような状況になると、PII を適切に保護していない企業をサイバー犯罪者が標的として狙い、データを人質に取る「サイバーゆすり」行為がたちまち横行するでしょう。狡猾な犯罪者が企業に侵入して発見した PII のすべてを収集し、タイミングを見計らって「GDPR の監督機関に通報するぞ」と脅迫してくるかもしれません。
「人質がまだ生きていることの証拠」さながらの「データが犯人の手中にあることの証拠」を犯人が送り付けてきたならば、企業は倫理上、および IT セキュリティ上の混乱に陥るでしょう。倫理上、このような場合に企業は監督機関および影響を受ける関係者に通知しなければなりません。しかし、サイバー犯罪者らが「すべてのデータを手に入れた」と言ってきたとしても、奴らの性質上、それが本当なのかは疑わしいところです。
たとえば、M&A の交渉時や資金提供者を探しているときなど、企業にとって良くないタイミングに、このようなデータ誘拐インシデントが発生したら、監督機関に報告せず、サイバー犯罪者に身代金を支払って、「なかったこと」にしたいという誘惑にかられることでしょう。
2. データ流出マーケットの拡大
GDPR が適用開始となる 2018 年 5 月以降、組織はデータの流出を認識してから 72 時間以内に、影響を受ける関係者と監督機関に届け出る義務が発生します。GDPR はデータの流出がどのように発生したかを区別しません。データ侵害はデータ侵害として扱います。そのためサイバー犯罪の「好機」が増えることになるでしょう。
悪意のある社員が、CRM や給与システムのデータベースバックアップからデータを盗み、現金化しようと目論むかもしれません。または、企業に侵入したサイバー犯罪者が、データを盗み出し、犯罪の証拠隠滅を図るかもしれません。2017 年に侵入して手に入れたデータを元に、2018 年にゆすりを働こうとするかもしれません。
ここで、問題となるのはもちろん、「企業に侵入し、データを手に入れ、2018 年 5 月 25 日に『GDPR データ誘拐作戦』を開始するまでじっと待つ」のがどの程度難しいのかということです。
以下の数字がその答えとなります。Identity Theft Resource Center の調査によると、2016 年に、米国の企業と政府組織は 1,093 件のデータ流出被害を受けました。これは、2015 年から 40% の増加となります。Risk Based Security による最新のレポートでは、データ侵害インシデントで盗まれた世界のレコードの件数もまた劇的に増加しています。4,149 件の侵害インシデントが確認され、42 億件のレコードが流出しています。
さらに悪いことには、「エリートサイバー犯罪スタートアップ」パッケージなるものがネット上のストアに出回り、ダウンロード可能になっています。「EternalBlue」と「Double Pulsar」がパッチ未適用のシステムを脅かしていなくとも、新たにリリースするツールは、WannaCry によるランサムウェア攻撃で侵害された多くの企業に意識を向けるべきでしょう。2017 年の 4 月には、米国国家安全保障局(NSA)が使用しているというサイバーツール一式をハッカー集団 Shadow Brokers が公開しました。これにより、あらゆるスキルレベルのサイバー犯罪者が、簡単にシステムに侵入できるようになりました。
3. セキュリティをめぐる戦いを新たなレベルに
セキュリティをめぐる戦いは、世界的に見ても悲観的な状況です。しかし、私たちはセキュリティ業界のプロとして、今こそ失敗から学んで立ち上がり、勇気と力をふり絞って闘いを仕掛けるときです。それはもちろん「ハッキングし返す」ということを言っているのではありません。
まず、顧客と従業員の期待をコントロールして、次のように組織内のリスクを低減します。
- EULA、サービスの契約条件、雇用契約、およびコンピューター使用ポリシーを再検討する。リーガルチェックを実施する。
- 顧客との取引や従業員の管理に必要な PII データを特定する。
- 不要な PII データを削除し、PII 収集の必要性を縮小する。PII が少なければ、リスクも低減される。
- PII データの処理、制御、送信、または保管の変更には、顧客および従業員の明示的な同意が必要であることを確認する。
- PII データの処理、制御、送信、保管の保護策について文書化する。
次に、IT システムの保護、検出、可用性を次のように管理する必要があります。それらは PII の制御、処理、送信、保管に関係するからです。
- 情報システムを監視する権利を持っていることを確認する(ユーザーの理解と雇用条件の同意)。
- 基本的なセキュリティコントロール、SANS、NIST、ISO 27001 などのベストプラクティスに従って IT システムを保護する。
- 内部または外部の悪質な活動を検出するためのシステムを構築する。GDPR はデータ流出の原因について区別はしない。
- PII の処理、制御、送信、および保管における変更を検出するためのシステムを構築する。
- 収集、処理、保管、および送信されるすべての PII データの可視性が維持されるようにする。
まとめ
近い将来も多くの企業がセキュリティ侵害を受け、サイバー犯罪者によるランサムウェア、サイバー詐欺および BEC などの攻撃が今後も続いていくことは確実です。これらの脅威に対し集中的に防衛策を図るのと同時に、新出の脅威にも備えることが重要です。
GDPR の施行に合わせて、データの誘拐や身代金の要求がサイバー犯罪者の事業計画に組み込まれることは間違いありません。さあ、今こそセキュリティ対策に本気で取り組みましょう。
本記事は6月11日に投稿されたトリップワイヤ本社ブログ記事を元に抄訳したものになります。オリジナル記事はこちらでご確認いただけます。
