海の向こうの“セキュリティ”

第82回

「キルスイッチ」普及団体発足の背景にある米スマホ盗難事情 ほか

 6月のセキュリティ関連の話題と言えば、何と言っても、米国家安全保障局(NSA)が市民の通話履歴など個人情報を収集していたことが暴露された事件でしょう。米国政府がテロ対策の名目で「盗聴」を行っていること自体にさほど驚きはないものの、これを暴露したのが元CIA職員であり、しかも本人が顔も名前も公にしていることが、より多くの注目を集めた理由と言えます。また、NSAとFBIが「PRISM」と呼ばれるシステムを使って大手IT企業から個人情報を集めていたとの具体的な情報も明らかにされ、名指しされた企業が関与について否定の声明を発表するなど、この話題に関しては国際的にもさまざまな動きがありました。

 また、6月25日に韓国では、大統領府・青瓦台のウェブサイトが改ざんされたのをはじめ、政府機関や新聞社などを対象としたサイバー攻撃が発生。現地の報道では北朝鮮によるサイバー攻撃の可能性が指摘されています。

 他にも、Opera社が標的型攻撃を受け、自動更新機能で「毒入り」版Operaが配布されていた事件もありました。

シマンテック、「データ侵害コスト」報告書2013年版

 シマンテックとPonemon Instituteは、データ侵害に伴うコストに関する調査結果をまとめた報告書を公開しました。これは、日本を含む9カ国16分野277組織におけるデータ侵害事故について1400名を対象に行ったインタビューに基づいています。調査対象の9カ国は、米国、英国、ドイツ、フランス、オーストラリア、インド、イタリア、日本、ブラジルです。

 調査対象となった9カ国について国ごとに個別にまとめた報告書も公開されていますが、今回は9カ国全体についての報告書の内容を紹介します。

 まず、この報告書での「コスト」の定義としては、データ侵害によって直接被った被害金額だけでなく、間接的なものも含まれており、具体的には次のようなものが挙げられています。

[直接経費]
・フォレンジクスの専門業者との契約
・ホットラインサポートの外注
・自社の製品やサービスの値引き
など

[間接コスト]
・内部調査
・情報伝達
・顧客離れ
など

 なお、この報告書で紹介される金額はすべて以下の表のレートで米国ドルに換算されています。

コストの換算レート

1)高コストの国と低コストの国

 侵害されたデータの1記録(1人)あたりのコストが最も高いのはドイツの199ドル、次に米国の188ドルとなっています。一方、最も低いのはインドの42ドル、次にブラジルの58ドルとなっています。

侵害されたデータの1記録(1人)あたりのコスト

2)侵害の規模

 侵害事故あたりの侵害された記録の数として最も多いのは、オーストラリアの3万4249件、次に米国の2万8765件となっています。一方、最も少ないのは日本の1万8237件、次にイタリアの1万8285件となっています。

侵害事故あたりの侵害された記録の数

3)侵害された原因の違い

 悪意を持って行われた攻撃による侵害を最も受けているのはドイツの企業で、その次にオーストラリアと日本が続きます。一方、不注意(ヒューマンエラー)による侵害が多いのはブラジル、システム故障や手順の不履行に起因するものが多いのはインドという結果になっています。

侵害された原因

4)最も高コストなデータ侵害

 9つの国のいずれも、悪意を持って行われた攻撃によるデータ侵害が最も高コストとなっています。中でも侵害されたデータ1記録あたりのコストで比較すると、最も高コストだったのは米国の277ドル、次いでドイツの214ドルとなっています。一方、最もコストがかからなかったのは、インドの46ドル、ブラジルの71ドルとなっています。

原因別のデータ1記録あたりのコスト

5)コスト低減の要因

 データ侵害によるコストを減らすことに成功しているケースで、その要因を調べたところ、米国と英国では警戒体制の強化、インシデント対応計画の策定、CISOの任命などが挙げられています。また、米国とフランスでは、外部コンサルとの契約が挙げられています。

6)コスト増加の要因

 データ侵害によるコスト(負担)を増加させている要因として、米国では第三者(外注先、取引先など)に起因するケースや、侵害の被害者や監督機関、その他出資者などの利害関係者への即時通知(義務)が挙げられています。一方、英国ではデバイスの紛失または盗難が挙げられています。

7)データ侵害後の顧客喪失

 データ侵害事故が原因と思われる顧客離れの割合が高いのはフランスとオーストラリアで、ブラジルとインドはその割合が低いという結果が出ています。

データ侵害事故が原因と思われる顧客離れの割合

8)検知とエスカレーションにかかるコスト

 インシデント対応において重要な検知とエスカレーションのプロセスにおいて最もコストをかけているのはドイツで130万ドル、次がオーストラリアで120万ドルです。一方、最も少ないのはブラジルの35万8478ドル、次いでインドの35万9406ドルです。

検知とエスカレーションにかかるコスト

9)通知にかかるコスト

 データ侵害の事実を被害者に告知する際には、コンタクト先のデータベース作成や要件の策定、外部専門家との契約などの作業が発生します。これらに最もコストをかけているのは、米国で56万5020ドル、次にドイツで35万3927ドルとなっています。一方、コストがかかっていないのは、インドで2万2232ドル、次にブラジルで5万3063ドルとなっています。

通知にかかるコスト

 米国やドイツではコストをかけている(かかっている)のに対して、インドやブラジルではかけていない(かかっていない)というのは、想像できる範囲の結果ですが、その差を具体的に数字で示しているのは興味深いところ。また、グラフを見る限り、日本はおおむね平均的な位置にいますが、ブラジルやインドを除けば、他の国に比べてコストをかけていない(かかっていない)方に入るようです。

 さて、そもそもデータ侵害に伴うコストは業種(扱う情報の種類)や国(法律や文化、物価など)によって異なるため、国ごとの平均値の数字そのものには、さほど深刻に捉えるほどの意味はありません。それでも、今回の調査結果はそれを十分に理解した上で国ごとの違いを示す参考資料の1つとして利用すればよいのではないかと思います。

個人のクラウドサービスを業務に利用している実態

 米国の会社員の38%が、個人で利用しているクラウドサービスに業務文書を保存したことがあるとの調査結果が発表されました。

 これは、クラウドベースの協業およびコンテンツ管理ソフトウェア「Huddle」を開発・提供・販売している英国のソフトウェア会社Huddleと、同じく英国の市場調査会社Ipsos MORI が共同で発表したもので、米国の会社員2000名(18歳から65歳)に対して行ったインタビューに基づく調査結果をまとめたものです。

 今回の発表によると、実際に使用されたクラウドサービスとして、Dropbox(16%)、Google Drive(15%)、Apple iCloud(12%)が挙げられています。

 また、調査対象者の91%が、個人のデバイス(外付けハードディスクやUSBメモリなど)を使って社内文書の保存・アクセス・共有をしたことがあると回答しています。

 さらに男女で比較すると、男性の方が個人のデバイスやクラウドを使う傾向があり、年代で分けると、若い世代ほどその傾向が強まるようです。

 さて、このような「ルール違反」を犯してしまう理由として、以下のような不満や問題が挙げられています。

・大きなファイルをメールで送れない(31%)
・文書をその都度探すのが時間の無駄(28%)
・常に最新版を確保しておきたい(21%)

 また、これに関連して調査対象の49%が、業務で使う文書を1カ所でアクセスできるようにしてほしいと考えており、さらに対象の5分の1が自分の個人利用のスマホやノートPC、タブレットを業務で使いたいとしています。

 今回の調査結果は、あくまで米国を対象としたもの(英国でも同様の調査が行われており、ほぼ同様の結果)に過ぎないので、そのまま日本でも同じ結果になるとは限りません。それでも、ルールで縛ることには限界があり、先に挙げた社員の不満を改善するなどのニーズを満たし、かつセキュリティレベルを下げない技術が今の企業に求められていることを具体的に数字で示しているものと言えるでしょう。

「キルスイッチ」普及団体発足の背景にある、米国のスマホ盗難事情

 スマホやノートPCなどをなくしたり、盗まれたりした場合に遠隔からデータを削除する機能やサービスとして「リモートワイプ」がありますが、米国では盗難時に遠隔からスマホを完全無効化するための機能「キルスイッチ」の普及を目的に、司法関係者と携帯電話関連企業が参加した団体「Secure Our Smartphones」が発足しました。

 この団体の発足そのものは普通のことで特筆すべきものはないのですが、この件に関連して報道された、同団体発足の背景にある米国のスマホ盗難の深刻な実態に注目が集まっています。

 まず、米国全体では1分間あたり、113個のスマホが盗難または紛失に遭っており、盗難の多くは暴力による強奪なのだそうです。

 中でも、サンフランシスコの路上犯罪の40%以上がスマホの盗難であり、その犯行の多くに銃またはナイフが使われています。また、ニューヨークの盗難事件の40%が電話の盗難で、その70%がiPhoneとの統計が紹介されています。

 このような事情を鑑みれば、米国当局としてキルスイッチの導入でスマホの窃盗を無意味なものにしたいと考えるのは当然ですが、それにしても怖い話です。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。