海の向こうの“セキュリティ”

●Verizon、データ侵害調査レポート

　米Verizonが3月22日、2011年のデータ侵害に関する調査結果をまとめた報告書を公開しました。これは同社が毎年発表している「データ漏洩/侵害調査報告書」の最新版です。

　この報告書については、すでに日本国内でもいくつかのメディアがExecutive Summaryを中心に紹介していますし、いずれは日本語版（日本語訳）も公開される（本稿執筆時点では英語版のみ）と思われますので、報告書全体の概要についてはそれらを参照していただくとして、今回は少し違った視点で同報告書について触れたいと思います。

　今回のVerizonの報告書について国内外の多くのメディアが取り上げているのは、データ侵害の98％が外部からの攻撃で、内部の者が関係しているのは4％にとどまっているという点です。中には、一般的な「データ侵害は内部犯行によるものが多い」というイメージとは違った結果である、つまり「意外である」というニュアンスで紹介しているメディアもありました。

　確かに、98％と4％という数字にはインパクトがありますが、このような伝え方は明らかに間違った印象を読者に与えます。

　そのような記事を書いた記者はExecutive Summaryしか読んでいないのでしょうが、報告書内ではこの点について以下のように明記しています。

"We hypothesize that many insider crimes go unreported because the organization is unaware of them, or because they decide for political reasons to handle it internally."

　これは考えれば当たり前のことであり、専門家であればわざわざ言われなくても分かるようなことですが、メディアが伝える場合は専門家以外の人が読む可能性があることを十分に考慮し、専門家にとっては常識のことでもある程度は言及すべきでしょう。

　また、この点に関して言えば、今回のVerizonの調査に以下の機関が協力していることも重要です。

・United States Secret Service（USSS）
・Dutch National High Tech Crime Unit（NHTCU）
・Australian Federal Police（AFP）
・Irish Reporting & Information Security Service（IRISSCERT）
・Police Central e-Crime Unit（PCeU）of the london Metropolitan Police

　これらの公的な機関が把握している事例を調査対象にしていることからも、何らかの形でデータ侵害の被害が発生または明るみになっている事例が調査対象（の中心）であることは明らか。当事者が気付いていない事例はもちろん、「特に実害がない」などの理由で内部で処理してしまった事例については調査の対象になりようがない、つまり数字に表れないことは、この協力機関の顔ぶれからも明白です。

　Verizonの報告書はとてもよく出来ており、それを多くのメディアが紹介すること自体はとても良いことなのですが、読者に誤ったイメージを与えるような紹介の仕方だけはやめていただきたいです。

　次に、報告書の内容でいくつか目を惹かれたものについて紹介します。

　この報告書ではデータ侵害に関する数字として、企業・組織の規模による違いも紹介されています。特に印象的だったのはデータ侵害の起きた企業の業種別の数字です。

　まず調査対象全体としての業種別の割合は、Figure 3にあるように「宿泊業・飲食サービス業（Accommodation and Food Services）」が他を圧倒しています。しかし、これが従業員数1000人以上の規模の企業・組織に対象を絞ると（計60のインシデント）、Figure 6にあるように「金融・保険業（Finance and Insurance）」が最も多いという結果になっており、ここに「宿泊業・飲食サービス業」はありません。

Figure 3

Figure 6

　この結果に関しては、大企業に絞ったデータそのものよりも、それとの比較として、全体では「宿泊業・飲食サービス業」が極端に多い、つまり中小の「宿泊業・飲食サービス業」におけるデータ侵害が非常に多く見られているということの方に意味があるでしょう。ちなみに、今回の調査対象はTable 2が示すように、従業員11人以上100人以下の中小企業におけるインシデントが全体の7割近くを占めています。

Table 2

　これ以外にも対象企業の規模による違いが顕著に見られる結果としては、外部の者によるデータ侵害の「動機」です。

　Figure 15によると、調査対象全体ではほとんどが「金銭などの個人的利益（Financial or personal gain）」を目的としているのに対し、対象を大企業に限定すると、その割合が7割ほどにまで減り、「抗議（Disagreement or protest）」や「愉快犯（Fun, curiosity, or pride）」がどちらも4分の1を占めています。「個人的な恨み（Grudge or personal offense）」によるものが企業規模によらずに少ないのは、先ほど紹介した内部犯行が少ないのとほぼ同じ理由だと考えられます。

　ここで注目すべきは「抗議」の占める割合が大企業を対象にした場合に多く見られている点。いわゆる「ハクティヴィスト」によるインシデントであり、2011年を象徴する結果と言えるでしょう。

Figure 15

　このようにVerizonの調査報告書はなかなか面白いデータを示してくれているのですが、今回紹介したものは、いずれもExecutive Summaryにはありません。英語版で80ページもある報告書なので、すべてに目を通すのは難しいかもしれませんが、Executive Summary以外の本文も一度は読んでみることをお勧めします。

■URL
　データ漏洩/侵害調査報告書
　http://www.verizonbusiness.com/jp/Products/security/dbir/
　Verizon News Release（2012年3月22日付）
　2011 Was the Year of the 'Hacktivist,' According to the 'Verizon 2012 Data Breach Investigations Report'
　http://newscenter.verizon.com/press-releases/verizon/2012/2011-was-the-year-of-the.html
　Verizon 2012 Data Breach Investigations Report（PDF）
　http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012-press_en_xg.pdf

●韓国、住民登録番号の収集が原則禁止に

　韓国ではインターネットの普及以前から、個人を識別するIDとして住民登録番号が全国民に付与されており、その後、インターネットの普及に伴い、オンラインでの本人確認の目的で住民登録番号が使われるようになりました。ところが、住民登録番号の大規模流出など、さまざまな問題が発生してきたことから、住民登録番号に代わる、オンラインで用いる個人識別番号として、2006年にi-PINという独自の番号、一種の「インターネット仮想住民登録番号」が導入されるようになりました。

　i-PINを利用するメリットとしては、番号の変更が可能なので万が一流出しても、その被害が住民登録番号よりも少なく、またi-PIN発給に必要な住民登録番号が保管されるのが5つの政府指定民間発給機関（＋行政安全部の公共i-PINセンター）に限定されるので、住民登録番号の流出の可能性を減らせるといった点が挙げられます。

　現在では大規模サイトに対してi-PINの導入が義務化されるなど、i-PIN普及のための施策はいろいろとなされているようですが、i-PINを導入しているサイトですら、住民登録番号の入力が必要な場合があるなど、本来の目的が達せられているとは言い難い状況にあります。

　そのような中、一部の避けられない場合を除き、公共機関や民間企業が住民登録番号を収集・利用することが禁止されるとの報道がありました。公的機関などに提出するさまざまな申請書や書類などで、これまで住民登録番号の記入が必要だったものについては代わりに生年月日を用いることになるそうです。

　これは放送通信委員会と行政安全部、金融委員会が策定した「住民番号収集利用最小化総合対策」の中心となるもので、この総合対策は既に個人情報保護委員会の審議・議決を経ているとのことです。

　この総合対策の中で注目すべきは、上記の「住民登録番号収集の原則禁止」のほか、住民登録番号を収集した場合の管理責任を重くしている点です。

　流出させた場合はその企業の売上高の1％まで課徴金を賦課することができるように制度を変更するほか、不法行為の責任があるCEOに対して職務停止や解任勧告ができるように関連法令を改正するとしています。なお、課徴金については上限を2％まで上げる可能性も示唆しています。

　また、住民登録番号の流出に備えた汎政府統合対応システムを構築する計画があり、具体的には、住民登録番号の不法売買や名義盗用、身分証偽造などに対して省庁合同で現場実態点検を実施し、特に中国などの海外サイトに対しても住民登録番号流出について常時モニタリングしていくとしています。さらに、主要分野別に効率的な住民番号保護対策を推進するために「住民番号保護関係省庁協議会」を構成するほか、「個人情報保護非常対応チーム（PERT）」を新設するなどの項目が盛り込まれています。

　なお、住民登録番号の収集禁止については、オンラインでは8月18日から施行し、公共機関およびオフラインについては段階的に拡大適用するそうです。

　i-PINの導入から約6年。住民登録番号の収集がなかなか止まない中、ようやく抜本的な対策に出たとも言えますが、あまりに「急激」過ぎて、対象となる企業や機関は対応できるのだろうかと、相変わらずの「イケイケ韓国」ぶりに驚きを感じる話題でした。

■URL
　i-PIN（ウィキペディア）
　http://ja.wikipedia.org/wiki/I-PIN
　Daum RULIWEB（2012年4月20日付記事、韓国語）
　＜アイニュース24＞個人情報流出企業売り上げ1％課徴金賦課推進
　http://ruliweb.daum.net/news/view/MD20120420100207780.daum

●韓国で「CODEGATE 2012」開催

　毎年恒例の韓国のセキュリティ関連イベント「CODEGATE 2012」が4月2日・3日の2日間に渡って開催されました。このイベントで毎年注目を集めるのはクラッキング技術などを競うコンテスト。その名は「YUT Challenge」です。

　YUT Challengeは韓国の伝統的な遊びで日本の双六に似た「ユンノリ」を組み合わせたもので、ルールなどについては本連載の昨年の関連記事を参照してください。

　残念ながら今年はさほど目を惹くような話題がなかったので結果だけ簡単に紹介します。

　予選は2月24日から26日まで行なわれ、ここ数年日本から参加し、決勝でも善戦しているsutegoma2チームは予選を6位で通過しました。決勝の最終結果は以下の通り。

　1位　LeetChicken（ロシア）
　2位　Int3pids（スペイン）
　3位　Kaist GoN（韓国）

　今回のYUT Challengeの開催に際して、予選で上位30位以内に入った韓国国内関係者に、知識経済部（省）が今年新たに開始する「次世代セキュリティリーダー養成（Best of the Best）プログラム」に参加する機会を与えるとの報道がありました。

　この「次世代セキュリティリーダー養成プログラム」が具体的にどのような内容なのかは分かりませんが、「Best of the Best」と銘打っているあたりに「英才教育」が大好きな韓国らしさが現れているように感じます。

■URL
　CODEGATE 2012 YUT
　http://yut.codegate.org/
　etnews.com（2012年4月3日付記事、韓国語）
　グローバル保安祭り‘コードゲート2012’優勝は?
　http://www.etnews.com/news/computing/security/2576486_1477.html
　sutegoma2 (sutegoma2) on Twitter
　http://twitter.com/#!/sutegoma2

■関連記事
　・韓国で「CODEGATE 2011」開催
　http://internet.watch.impress.co.jp/docs/column/security/20110509_444199.html
　・韓国で「CODEGATE 2010」開催
　http://internet.watch.impress.co.jp/docs/column/security/20100513_366552.html