2010年11月22日15:17
情報漏洩を起こした企業の約80%がPCI DSSに非準拠
QIRA、QFIの両認定を取得し、フォレンジック調査で多数の実績
ベライゾン ビジネスは米国に本社を置く世界最大級のセキュリティ・サービスプロバイダだ。PCI DSSに関してはサイバートラストを買収し、認定セキュリティ評価機関(QSA)、認定スキャニングベンダー(ASV)、フォレンジック調査を行うVisaの「QIRA(Qualified Incident Response Assessor)」、MasterCardの「QFI(Qualified Forensics Investigators)」の認定を取得している。「データ漏洩/侵害調査報告書」を発行する同社に、海外の不正アクセスの発生状況と国内の状況ついて説明してもらった。
PCI DSSに準拠していても万全ではない
定期的なアカウントの管理とログの監視が重要
ベライゾン ビジネスでは2008年から「データ漏洩/侵害調査報告書」を発行しており、2009年の調査結果をまとめた「2010年度版報告書」は米国・シークレットサービスの協力を得てリリースしている。同社が携わった2004年~2009年とシークレットサービスが携わった2008年〜2009年の総計でデータ漏洩/侵害件数は900件以上。被害を受けたレコード数は9億件以上となるという。ベライゾンは米国の企業だが、同調査の半分以上が米国以外の国から起きている。
同調査によると2008年までは盗まれたレコード数が右肩上がりであったが、2009年には半減している。この原因としては、有名なハッカーが逮捕されたことや2008年にペイメントカード番号などがブラックマーケットに出回ったため、1件あたりの市場相場が下がったという見方もある。
侵害されたデータのタイプとしては、ペイメントカード、銀行口座、個人情報の3つが多く狙われている。ペイメントカードデータは2008年の81%から54%まで下がっているが、銀行口座は16%から32%に増えている。
情報漏洩や侵害については企業の内部、外部の要因が重なって起きるケースが多いという。特に内部因子に関しては、前年の20%から46%に増加。複数の国から組織的に狙われる事故が多く見受けられる。
驚異のアクションに関してはマルウェア、ハッキング、ソーシャル、不正使用の比率が高い。ハッキングによるデータ漏洩、侵害事例のなかでも「盗んだログイン情報の使用」「バックドアまたはコマンド&コントロールチャネルの不正使用」「SQLインジェクション」は侵害レコード数が多い。
また、データ漏洩や侵害の開始から発見までが数カ月の期間に及んでいるケースは約60%を占める。さらに、侵害したデータの86%でログに形跡が残っていたという。そのため、データ漏洩や侵害がすぐに検知できていれば、その多くの被害は防ぐことができた可能性が高い。
当然、データ漏洩や侵害を起こした企業はPCI DSSに準拠しているところは少なく、79%が非準拠となった。また、注目すべきなのは準拠している21%の企業でも情報漏洩を起こしていることだ。
「データ侵害を受けた時点で準拠できていたかどうかは疑わしいと思います。いくらPCI DSSに準拠を果たしても、その後の維持・継続がなければ意味がありません。例えば、髪型でもヘアカットしても、1カ月経つと髪が伸びてスタイルが変わります。PCI DSSも同様で運用している間に変わってしまったことによって漏洩の被害が起きています」(ベライゾンビジネス シニアコンサルタント フォレンジック調査対応部 鵜沢裕一氏)
鵜沢氏は不正アクセスを防止する取り組みとして、「アカウントの管理とログの監視をきちんとすること。当たり前のことですがフローに沿って処理を行うことにより漏洩が起きる確率を減らすことが可能です」と説明する。
不正アクセスの被害はSQLインジェクションが中心
ブランド認定のフォレンジック調査会社として多くの案件を担当
現状、国内でのインシデントについては変動はあるが、減ってはいないという。同社だけの案件で見ればかなりの割合で増えている。ペイメントカードの漏洩事故に関しては、ほとんどがSQLインジェクションによる被害である。
同社では侵害の可能性がある企業に対し、コンピュータやサーバなどのネットワークを特殊な技術を用いて解析するフォレンジック調査を実施している。同社ではVisaのQIRA、MasterCardのQFIの両認定を取得。両ブランドの資格を持つ企業は全世界を見ても数社のみだ。来年の3月まではブランドごとに異なる基準でフォレンジック調査が行われるが、それ移行はPCI SSCに移管され、「PCI Forensic Investigator (PFI)Program Version1.0」の基準が適用される。同社では当然、PFIの資格も取得する方針だ。
例えば、MasterCardではカード情報の漏洩事故の認知から72 時間以内に認定のフォレンジック調査会社が関わることが求められている。「VisaやMasterCardの場合、フォレンジック調査を実施できる認定業者でなければ、調査レポートを受け付けてもらえない仕組みになっています」(鵜沢氏)
現状、国内で展開するQIRAやQFIの多くは海外から人員を派遣しているが、鵜沢氏はブランドが規定したフォレンジック調査が実施できる数少ない日本人の1人だ。そのため、ペイメントカード情報が漏洩した企業のフォレンジック調査については同社に集まることが多いという。
なお、情報漏洩を起こした企業のうち、同社が担当した企業については、カード会員情報を丸ごと決済代行事業者に預けることを勧めているという。例えば、MasterCardのバリデーションでは不正アクセスの事故を起こした企業はレベル1加盟店として位置づけられる。ベライゾンにはQSAの担当もおり、PCI DSSの審査についても強化していく方針だ。
