セキュリティ侵害とは何ですか?

多くの人にとって、生活の最も基本的な活動は現在オンラインで行われています。 ショッピング、銀行業務、旅行計画からエンターテイメントやデートまで、人々は公的生活と私生活の両立のためにデジタル領域を利用する傾向が高まっています。 彼らは、個人情報やデータ、そしておそらく一部の秘密を安全に、プライベートに、そして保護された状態で保管してくれるデジタルツールを信頼しています。 

しかし、オンライン アカウント、アプリケーション、およびコンピュータ システムには膨大な量の個人情報や財務情報が保存されているため、犯罪者がシステムを侵害して顧客のアカウントにアクセスし、データを収集しようとするセキュリティ侵害の主な標的となり、詐欺やその他のサイバー犯罪のきっかけとなります。 企業にとって、違反は規制上の罰金、法的責任、評判の失墜、顧客の信頼の喪失につながる可能性もあります。 

セキュリティ侵害は、脆弱なパスワード、マルウェア、フィッシング、ランサムウェア、ソーシャル エンジニアリングなど、進化するさまざまな脅威と脆弱性によって発生する可能性があります。 データセキュリティ対策の導入 機密情報は犯罪者にとって大きな価値があるため、個人と組織の両方にとって、個人のプライバシーを保護し、機密データを保護することが不可欠です。 ダークウェブは、ユーザー名、パスワード、クレジットカード番号、その他の金融データが売買され、個人情報の盗難や詐欺の目的で使用される市場です。

セキュリティ侵害の脅威は現実です。 Enterprise Apps Todayによると、世界のどこかで39秒ごとに侵害が発生しており、2022年だけでもサイバー犯罪者による被害は6兆ドルに達すると推定されています。

セキュリティ侵害は、セキュリティ制御が侵害されたり回避されたりした場合に発生します。世界最大かつ最も強力な企業は、サイバー犯罪者の標的に頻繁になっています。 実際、金融機関、電子商取引会社、政府機関は、これらのサイトが保持する膨大な個人情報や財務データにより、最も頻繁に標的となる組織の一つとなっています。

個人や組織の規模を問わず、セキュリティ侵害やサイバー攻撃のリスクにさらされています。 ハッカーやサイバー犯罪者は、強力な国家や企業の支援を受けていることもあり、限りなく創意工夫を凝らし、既存のセキュリティ保護を突破する新しい方法を考え出します。 これにより、機密情報や個人データを盗み、それを販売したり、競争上の利益のために操作したり、詐欺、個人情報の盗難、または誤情報の拡散に使用したりする機会が生まれます。 

ニュースサイト secureworld.io によると、史上最も重大なデータ侵害には次のようなものがあります。

• Yahoo (2013-2014) では、攻撃者がフィッシング技術を使用して Yahoo のネットワークに侵入し、30 億を超えるユーザー アカウントが侵害されました。 侵入者は、名前、電子メール アドレス、生年月日、電話番号、暗号化されたパスワードなどの機密情報にアクセスしました。 罰金に加えて ヤフーは、証券取引委員会から3,500万ドルの罰金、連邦証券集団訴訟の和解金8,000万ドルの支払いを受け、2016年のベライゾンへの売却時に買収価格を3億5,000万ドル引き下げざるを得なかった。 2017年3月、 FBIはロシア連邦保安局（FSB）の職員2人を含む4人をこの攻撃に関与したとして起訴した。
• Equifax (2017) では、攻撃者が米国の消費者 1 億 4,700 万人の名前、社会保障番号、生年月日、住所、場合によっては運転免許証番号などの個人情報を入手しました。 この個人情報に加え、この侵害により約209,000人の顧客のクレジットカード番号も漏洩した。 攻撃者はウェブサイトアプリケーションの脆弱性を利用してEquifaxネットワークにアクセスし、システムのセグメンテーションが不十分だったため、侵入者はシステム内で簡単に横方向に移動することができました。 この違反は深刻な影響を及ぼし、消費者の信頼の喪失、法的調査、訴訟、規制上の罰金、議会公聴会につながりました。 エキファックスはまた、データ侵害の影響を受けた人々を助けるために推定7億ドルを支払った。 2020年、米国 司法省は、エキファックスへのサイバー攻撃に関連して、中国軍の支援を受けたハッカー4人を起訴すると発表した。 
• マリオット・インターナショナル（2014～2018年）では、氏名、住所、電話番号、パスポート番号、メールアドレス、旅行情報、場合によっては決済カード番号など、約5億件の宿泊客の記録が漏洩しました。 この攻撃は、マリオットが2016年にスターウッド ホテルズ アンド リゾーツを買収し、スターウッドの予約システムをマリオットのシステムに統合したときに始まった。 スターウッドのシステムは少なくとも2014年までに侵害されており（おそらくスターウッドの従業員から盗まれた認証情報によるもの）、すぐにマリオット・インターナショナル・グループのすべての施設が感染した。 英国情報コミッショナー事務局（ICO）はマリオットに2,380万ドルの罰金を科した。 米当局は、このサイバー攻撃は中国の諜報活動の一環だと主張している。マリオットは、米政府関係者や軍関係者に宿泊を提供する最大手のホテルプロバイダーだ。
• T-Mobile（2022～2023年）では、攻撃者がAPIを操作して3,700万件のユーザーアカウントに侵入し、顧客名、請求先住所、メールアドレス、電話番号、口座番号、生年月日を入手した。 侵入が発覚する1か月以上前からT-Mobileのシステムに不正アクセスしていた攻撃者の身元は特定されていない。 

セキュリティ侵害には複数の種類があり、攻撃者がシステムにアクセスするために使用する方法によって特徴付けられます。 

• マルウェア攻撃は、犯罪者がセキュリティ侵害を起こすためによく使用する手法です。 マルウェアは、多くの場合、悪意のある電子メールの添付ファイルを通じて拡散します。多くの場合、受信者を騙してリンクをクリックさせたり、マルウェアを含む添付ファイルや偽のログイン ページに誘導する添付ファイルをダウンロードさせたりするフィッシング攻撃の一環として拡散します。 マルウェアは、感染した Web サイトへのアクセスや侵害されたソフトウェアのダウンロードによっても起動される可能性があります。 マルウェアは、キーストロークの記録やユーザーアクティビティの監視、攻撃者がネットワークにアクセスできるようにする「バックドア」アクセスポイントの作成など、データ侵害につながるさまざまな機能を実行するように設計できます。 他の種類のマルウェアは、保存されたログイン資格情報を収集したり、機密の認証データを盗んだりすることができ、攻撃者はそれを利用してアカウントやシステムに不正アクセスすることができます。 マルウェアは窃盗を実行し、盗んだデータを攻撃者が管理するリモート サーバーに送信して、不正なデータ漏洩や潜在的な露出を引き起こす可能性もあります。 ランサムウェア攻撃 ランサムウェアは被害者のデータを暗号化してアクセス不能にするマルウェアの一種であるため、セキュリティ侵害につながる可能性もあります。 暗号化プロセス中に、攻撃者は被害者のデータにアクセスし、多くの場合、身代金が支払われない場合は被害者の機密データを公開したり、ダークウェブで販売したりすると脅します。 これにより、ランサムウェア インシデントがデータ侵害に変わり、侵害された情報が権限のない個人に公開されることになります。
• ソーシャル エンジニアリング攻撃は、心理的な操作を利用して人々を騙し、機密情報を開示させたり、アクションを実行させたり、セキュリティを危険にさらす決定を下させたりします。 場合によっては、攻撃者は同僚、上司、IT 担当者などの信頼できる個人になりすまして、被害者に機密データを共有させたり、ユーザー名、パスワード、その他の認証資格情報を明らかにさせたりすることがあります。 この情報を使用すると、攻撃者はシステム、アカウント、機密データに不正にアクセスできるようになります。 ソーシャル エンジニアリング攻撃では、多くの場合、フィッシング戦術を使用して個人を操作し、通常は行わないようなアクションを実行させたり、データを開示させたりします。
• ソフトウェア エクスプロイトは、ソフトウェア、ファームウェア、またはシステム構成の脆弱性や弱点を悪用して、不正アクセスを取得したり、データを操作したり、コンピューター システムまたはネットワーク内で悪意のあるアクションを実行したりします。 古くなったソフトウェアやパッチが適用されていないソフトウェアは、システム エクスプロイトの一般的なエントリ ポイントですが、権限昇格攻撃やリモート コード実行エクスプロイトにつながる可能性もあります。

データ侵害に対する罰則は重大かつ広範囲に及ぶ可能性があり、次のような内容が含まれます。

• インシデント対応、弁護士費用および訴訟、規制上の罰金、および影響を受けた当事者への補償に関連する費用による経済的損失。
• 評判の失墜。公開された違反行為は悪評を招き、ブランドに長期的なダメージを与える可能性があります。
• 信頼の喪失。侵害により、企業のデータ保護能力に対する信頼が損なわれ、顧客 (およびパートナー) が商取引関係を結ぶことを躊躇するようになり、忠誠心の喪失や顧客離れにつながる可能性があります。
• 法的および規制上の影響。EUの一般データ保護規則（GDPR）や米国の医療保険の携行性と責任に関する法律（HIPAA）などのデータ保護法や規制に違反すると、企業は法的措置や規制上の罰金に直面する可能性があります。

セキュリティ侵害の兆候を早期に認識することは、潜在的な損害を最小限に抑え、効果的に対応するために重要です。 以下は、セキュリティ侵害が進行中であることを示す可能性のある一般的な指標です。 

• ネットワーク トラフィックの突然の増加、異常なデータ転送、帯域幅使用量の予期しない急増などの異常なネットワーク アクティビティは、不正アクセスやデータ流出を示している可能性があります。
• 原因不明のシステムダウンタイム、パフォーマンスの低下、頻繁なクラッシュなどの予期しないシステム動作は、マルウェアや不正なアクティビティの存在を示している可能性があります。 
• 見慣れないユーザー アカウント、異常なログイン時間、複数回のログイン失敗などの異常なアカウント アクティビティは、侵害または不正アクセスの試みの兆候である可能性があります。 
• データの欠落や変更、重要なデータベースや機密情報への不正アクセスを示すログなどのデータ異常や不正アクセスは、セキュリティ侵害を示唆する可能性があります。

セキュリティ侵害を防ぐには、次のベスト プラクティスを含む、サイバーセキュリティに対する積極的かつ包括的なアプローチが必要です。

• 強力なパスワード ポリシーを適用します。 誕生日、名前、一般的な単語など、簡単に推測できる情報の使用を制限し、大文字と小文字、数字、記号をランダムに組み合わせたパスワードの使用を強制します。 長くて覚えやすいが、解読が難しいパスフレーズの使用を推奨することを検討してください。  
• 多要素認証 (MFA) を実装します。 MFA では、ユーザーがアプリケーション、リソース、オンライン アカウント、またはその他のサービスにアクセスするために 2 つ以上の検証要素を提示する必要があります。 一般的には、電子メールやテキストからスマートフォンやブラウザにワンタイム パスコードを入力するか、指紋や顔のスキャンなどの生体認証情報を提供する必要があります。
• ソフトウェアとシステムを定期的に更新します。 既知の脆弱性に対処するために、オペレーティング システム、ソフトウェア アプリケーション、セキュリティ パッチを最新の状態に保ってください。 セキュリティ更新と修正を迅速に適用するための堅牢なパッチ管理プロセスを開発します。
• ネットワークセグメンテーションを実装します。 大規模なネットワークを、より小さく分離されたセグメントに分割すると、アクセスが制御された個別のゾーンまたはサブネットワークが作成され、セキュリティが強化され、セキュリティ侵害の潜在的な影響を軽減できます。 この方法は、重要な資産を分離し、攻撃対象領域を減らし、ネットワーク内の横方向の移動を制限して、侵害を封じ込めるのに役立ちます。
• 暗号化とデータ保護を採用します。 転送中と保存中の両方で機密データを暗号化し、不正アクセスから保護します。 厳格なアクセス制御や最小権限の原則などのデータ保護ポリシーを実施することで、不正なデータアクセスのリスクを軽減できます。
• インベントリ API とサードパーティ スクリプト。 API エンドポイントとサードパーティ統合を動的に検出し、それらがリスク管理プロセスでキャプチャされ、適切なセキュリティ制御によって保護されていることを確認します。 

• フィッシングの試みを認識します。 従業員がフィッシングメールや悪意のあるリンクを認識できるようにし、データ漏洩につながるフィッシング詐欺に引っかかる可能性を減らします。
• 強力なパスワードについて教育します。 強力なパスワードと堅固なパスワード管理の実践の重要性を従業員に教えます。 
• 疑わしい活動を報告してください。 従業員に、疑わしい活動や潜在的なセキュリティ インシデントを速やかに報告するよう指導し、より迅速な対応と軽減を実現します。 定期的なトレーニングにより、従業員は新たなリスクとその認識方法について最新情報を把握できます。

• 組織のセキュリティ体制を定期的に評価します。 侵入テスト、脆弱性スキャン、セキュリティ監査を使用して、攻撃者が悪用する前に、システム、アプリケーション、ネットワークの弱点を特定して対処します。 脆弱性評価は、対処しないとセキュリティ侵害につながる可能性のある誤った構成を特定するのにも役立ちます。

• インシデント対応計画を策定します。 これは、潜在的なサイバーセキュリティ インシデントを特定して対応するための構造化されたプロアクティブなアプローチを提供することで、セキュリティ侵害を軽減する上で重要な役割を果たすことができます。
• 利害関係者と役割を特定します。 必ず関係者を特定し、役割と責任を決定し、インシデントの報告とエスカレーションのための明確な指揮系統を確立してください。 違反を封じ込めて軽減するための詳細な段階的な手順を作成し、定期的に計画をテストして弱点を特定し、対応を改善します。
• 事業継続性と災害復旧(BCDR) 戦略を策定します。 BCDR 計画は、セキュリティ侵害などの混乱が発生した場合でも、重要な業務運営の継続を確保するのに役立ちます。 BCDR 計画の重要な要素は、データ侵害やデータ破損が発生した場合にデータを以前のクリーンな状態に復元できるようにするための定期的なデータ バックアップです。 すべての BCDR 計画は、その有効性を確認し、企業が弱点を特定して対応戦略を改善できるようにするために、定期的に訓練や演習を通じてテストする必要があります。

人工知能は、セキュリティ侵害を検出し防止するために活用できる強力な新しいツールと機能を提供します。 特に、AI を活用したボット防御は、攻撃者が永続的なテレメトリ収集、動作分析、緩和戦略の変更を通じて防御を回避しようとしても、回復力を維持できます。 AI アルゴリズムは、ユーザーが通常とは異なる時間や不審な場所から機密データにアクセスする、信号を偽装する、ダーク ウェブから侵害されたデータを使用するなどの、侵害活動を示唆する異常を検出します。 

これらのシステムは、疑わしいアクティビティを自動的にブロックまたはフラグ付けするように指示することができ、事前定義された対応アクションの開始や侵害されたシステムの隔離など、インシデント対応計画の一部の要素を自動化して侵害の拡大を最小限に抑えることができます。 AI ベースのセキュリティ システムは新しいデータから学習し、変化する脅威の状況に適応するため、侵害を検出する精度は時間の経過とともに向上し、動的な脅威環境でも関連性を維持できるように進化します。 

AI テクノロジーは大量のデータを分析し、異常なパターンをリアルタイムで検出することもできるため、手動またはルールベースの脅威検出プログラムよりも迅速かつ正確に脅威を識別して対応できるようになります。

AI 駆動型セキュリティ ソリューションは脅威の検出と防止に大きなメリットをもたらしますが、アラートを検証し、複雑なデータや入力を解釈するには、人間の専門知識と組み合わせることで最も効果的に機能します。 AI セキュリティ モデルは誤検知や誤検知を生み出す可能性があり、特に複雑で新しい脅威に対応する場合には、人間による判断と監視の注意が必要になります。 

連邦取引委員会 (FTC) は、セキュリティ侵害に直面したときに組織が検討すべきインシデント対応対策に関するガイダンスを提供しています。 これらの手順は、組織がセキュリティ インシデントに効果的に対応し、管理できるように設計されています。 セキュリティ侵害に対処するための FTC ガイダンスの概要には、次のアクションが含まれます。

• 業務を安全に守ります。 迅速に行動してシステムを保護し、侵害対応チームを直ちに動員してさらなるデータ損失を防止します。 これには、影響を受けるシステムを隔離し、侵害されたアカウントを無効にし、さらなる不正アクセスを防ぐためのその他の対策を講じることが含まれる場合があります。
• 脆弱性を修正します。 フォレンジックの専門家と協力して、侵害の発生を許した脆弱性を特定し、対処します。 将来のインシデントを防ぐために、ソフトウェア、システム、構成にパッチを適用して更新します。 現在ネットワークにアクセスできるユーザー (サービス プロバイダーを含む) を分析し、そのアクセスが必要かどうかを判断し、必要でない場合はアクセスを制限します。
• 適切な関係者に通知します。 法執行機関に連絡して、状況と個人情報盗難の潜在的なリスクを報告してください。 侵害の性質に応じて、影響を受ける個人、顧客、またはクライアントにインシデントについて通知します。 影響を受けた個人に対して、何が起こったのか、どのデータが漏洩したのか、そして自分自身を守るためにどのような手順を踏む必要があるのかについて、明確で正確かつ透明性のある情報を提供します。