過ちは起こりうるもの̶意図しない データ損失を軽減するために

データを故意に消失する人はいません。しかし、これは起こりうることです。しかも、頻繁にです。未熟なプロセス、不適切なツール、そして不注意なユーザーは、それら自体は弱い関連であることを示しています。ビジネスや私生活のあらゆる分野で技術の飽和度の高まりは、意図しないデータ損失の原因を多様化させます。絶え間なく変わる法律により、データ損失が発生した場合に生じる違反のリスクとそれにかかる費用は増加し続けています。これらの要素が重なることで、すべてのセキュリティ専門家の関わり合いも高まります。セキュリティ専門家は今の状況を見直すことで、今後のデータをリスクから保護する計画を立てることができます。

変化する状況

意図しないデータの損失は、権限を持つ担当者からの明示的な承認なく、機密情報が企業の境界から流出した場合に発生するものです。クラウドやモノのインターネット（IoT）などの分野で絶え間なく革新し続けることで、境界が減ります。ベンチャー企業は新しいサービスを立ち上げることで、毎日データの送信と保存をおこなっています。クラウドへの移行とクラウドサービスの有用性の向上により、潜在的なデータ損失のリスクも高まっています。エンドユーザーは、IT あるいはIT セキュリティチームの関与なしに、クラウドエンタープライズリソースプランニング（ERP）ソリューションなどのアプリケー ションを購入しています。エンドユーザーが認識することなく、このような行動がシャドーIT 部門を形成することになります。シャドーIT は、組織の基準やコントロールが及ばないとところで、データの送信や保管におけるリスクを増大させてしまいます。

企業は、データの保護に伴う重大なリスクを認識しています。例えば、Alphabet Inc.（Google の親会社）の2016 年12 月31 日付け10-K に記載されているリスク要因のおよそ20% は、データセキュリティにおけるリスクを反映したものでした。¹ 以下はその例です。

• セキュリティ対策に不履行があり、ユーザーのデータが不適切に使用されたり公開された場合、またはサービスに攻撃を受け、ユーザーが製品やサービスにアクセスする機能が低下したり、拒絶された場合、製品およびサービスは安全でないと認識される可能性があります。ユーザーや顧客は、その企業の製品やサービスの使用を抑制、あるいは中止する場合があり、企業が法的および財務的に重大な被害を被る可能性があります。
• 知的財産権は貴重なものであり、これらを保護できない場合、企業の製品やサービス、ブランドの価値が低下する可能性があります。様々な新しい法律や既存の法律により、企業はクレームの対象となる可能性があり、そうでなければビジネスに害が及ぶ可能性があります。
• 技術に関連したプライバシーへの懸念により企業の評判が損なわれ、既存のユーザーおよび潜在ユーザーが、その製品やサービスの利用を躊躇する可能性があります。

データ損失に対する法律および規制

Alphabet Inc. の10-K に反映されているように、データ保護に対する法律や規制は変化する情勢とともに進化し続けています。世界中の国々や州、地方、および産業がデータセキュリティに焦点を当てています。主な法律や規制、フレームワークには、カナダ個人情報保護および電子文書法（PIPEDA）、米国医療保険の携行性と責任に関する法律（HIPAA）、クレジットカード業界のセキュリティ基準（PCI DSS）、米国グラム・リーチ・ブライリー法（GLBA）、欧州連合（EU）一般データ保護規制（GDPR）、バーゼル規制があります。

違反すると過大なコストがかかる可能性があります。例えば、米国保健社会福祉省（DHHS）は、2017 年 2 月28 日の時点でのHIPAA プログラムのこれまでの制裁金総額は、67,210,982 米ドルと報告しています。² しかしながら、GDPR に対する違反は、これらのプログラムの制裁金額を上回る可能性があります。 GDPR は、2016 年4 月14 日にEU 議会で採択されました。³ 2018 年5 月25 日まで施行が開始されることはありませんが、発生する可能性のある高額な違約金を避けるため、企業は今から変更のための計画を立てる必要があります。GDPR によって生じる主な変更点には、適用範囲の拡大、条項の明確化、72 時間以内の違反通知義務、忘れ去られる権利、プライバシーバイデザインがあります。⁴

EU データ保護条令95/46/EC では、適用範囲が不明瞭に定めされていますが、その替わりとなる GDPR では、組織の所在地にかかわらず、欧州連合に存在するデータを主体として個人データを処理するすべての組織に適用されます。EU の議会は、GDPR の違約金を2000 万米ドル、あるいは違反した組織のグローバル収益の4% のいずれかの高額な方を上限にすることを承認しました。このような厳しい処罰を設けることで、GDPR は「本規制の要件を満たし、データ主体の権利を保護するために、適切な技術的および組織的な評価基準を効果的な方法」を導入することに集中して取り組むようにさせます。⁵

組織はしばしば、法律や規制へのコンプライアンスを裏付けるために組織の基準とコントロールを確立することがありますが、GDPR ではデータ保護の失敗を避けるため、組織がシステム設計に着手する時点からデータ保護を組み込むよう、組織に促進しています。さらに、過去には見過ごされていた可能性のあるデータ処理を中心としたコントロールも、コントロールオーナーが再検討する必要があります。

意図しないデータの損失

しばしば、社内の従業員や請負業者が、データ損失の原因となることがあります。図1 は、DHHS の是正措置で終了した調査済みの事例のうち、上位5 位の問題を暦年別に記載したものです。⁶ 明らかに、技術的保護は、毎年ほとんどリストに記載されていません。

新たな課題に加え、従業員によるコンピュータの紛失や、ユニバーサルシリアルバス (USB）ドライブ、モバイルデバイスなどの長年の課題もデータをリスクにさらします。従業員は誤った電子メールアドレスを入力したり、コンピュータのロックを忘れたり、権限を持たないパートナーとデータを不適切に共有したり、保護されていないピアツーピアメッセージングを使用したり、背景に極秘の機器やデータが写った会社の写真を高画質で撮ったりします。境界があいまいで、意図しないデータの損失の脅威が増大しているこの新しい状況では、セキュリティ専門家は契約上および法的な保護要件を満たすために、データ処理を中心とした未来のニーズに備える必要があります。

過ちは起こるものです。しかしながら、数多くある広く公表されたデータ保護の失敗から得られる貴重な教訓もあります。以下は、意図しないデータの損失とその影響の例の一部です。

• シャドーIT̶医師が個人的なサーバーを病院のネットワークから切り離そうとしたことで、6,800 人の患者のデータがインターネット検索にさらされました。DHHS は480 万米ドルでの要求に和解しました。⁷
• 盗難されたラップトップ̶2016 年4 月に、 California Correctional Health Care Services の暗号化されていないラップトップが従業者の車の中から盗まれ、400,000 人の患者の個人健康情報 (PHI) が喪失しました。^{8, 9}
• USB デバイスの紛失̶アラスカ州の保健福祉省がメディケイド受益者の健康情報が含まれた USB デバイスを紛失し、170 万米ドルの罰金が科されました。¹⁰
• 携帯電話の紛失̶2013 年に発生した携帯電話の紛失により、6 カ所の養護施設の412 名の患者の健康情報が漏洩し、DHHS から65 万米ドルの罰金が課されました。¹¹
• ソーシャルメディア、データ配布、サードパーティデータの権利̶英国の監視機関は、3 年間にわたり英国の国民健康サービスに関し、ソーシャルメディアにデータが投稿される事例が少なくとも 50 回、電子メール、手紙やファックスでデータが不適切に共有される事例が少なくとも236 件、そしてサードパーティにデータが不適切に共有されている事例が少なくとも251 件発生していたことを突き止めました。¹²
• 電子メール̶2014 年4 月、リスクアドバイザー兼保険仲介会社の従業員が、従業員の名前、電子メールアドレス、生年月日、社会保障番号、従業員ID 番号、オフィスの所在地や医療保険プランの詳細が含まれたスプレッドシートを大勢の従業員に誤って送信しました。同社は4,830 名に対して、2 年分の個人情報盗難補償を支払いました。¹³
• 資産の処分̶ニューヨークに本拠地を置く健康保険のプロバイダーが、機器に保存されている 344,579 人分の個人データを消去しないまま、コピー機をリース会社に返却しました。¹⁴
• インスタントメッセージおよびオンラインでの情報開示̶ソフトウェア、データおよびメディア企業が、テスト中に誤って1 万件以上のトレーダーの極秘インスタントメッセージを公開ウェブサイトにアップロードしました。¹⁵
• 電子メールマルウェアのクリック̶Kaspersky Lab によると、銀行の従業員がCarbanak と呼ばれるマルウェアをクリックし、ハッカーが3 億米ドル以上を盗み出すのに必要なデータへのアクセスを得ました。¹⁶

データが意図せずに失われる方法はますます増え続けており、これらはほんの一例です。これらの事例の多くは、コントロールの成熟度やユーザーの意識の欠如を浮き彫りにしています。組織は、データ保護のためのプロセスやコントロールを継続的に向上させるよう尽力する必要があります。

一般的なデータ保護コントロールと考慮すべき事項

ほとんどのIT プロセスとコントロールは、データセキュリティに直接的な影響を与えます。図2 のリストは、いくつかの主要なCOBIT 5 データ保護ガバナンスの実践を示しています。¹⁷

併せてガバナンスを実践することで、データの機密性、完全性および可用性に取り組む縦深防御の 戦略が形成されます。これらの層は、データ保護に対する内的、外的、意図的及び意図的ではない脅威に対処するためのものです。データセキュリティ計画のための、一般的なデータ保護コントロールと考慮すべき事項の一部を以下に紹介します。

• データの格付け̶格付けポリシーと手順により、アクセス管理における意思決定とデータ保護コントロールが行われます。格付けのカテゴリーは、しばしば法律や規制、フレームワークの影響を受けます。データを格付けすることで、組織は知る必要性に応じてアクセスを許可することができるようになります。ほとんどの組織は、その膨大な量のためにデータとデータが存在する場所の特定に苦心しており、これをシャドーIT の存在が悪化させています。このプロセスに内在する課題は、前述のコピー機の資産処分によるデータ損失の例でも明白です。組織は毎日大量のデータとデータ容量を作り出しており、データの一貫性と正確性にチェックを入れるにあたり、個人に依存することがよくあります。格付けによるデータの識別、分類、保護は、APO01.06、BAI08.02、BAI08.03、 DSS05.02、DSS05.03、DSS05.04、DSS06.06 などのCOBIT プロセスID でカバーされています。
• 情報漏えい対策 (DLP)̶究極的には、ルールを通してマーキングや識別を行う時に、DLP ツールが保護レイヤーを追加してくれます。情報漏えい対策のルールセットを確立するためには、慎重な計画とテストが必要になります。ルールが厳しすぎる場合、ツールはビジネスを妨害するものとなり、ルールの制限があまりに緩いと、データセキュリティに悪影響を与えます。DSS 06.06 は、ツールとテクニックを使って情報資産を保護するための、データの格付けポリシーと手順適用について取り上げています。
• 暗号化̶組織はしばしば、機密として格付けされたデータに暗号化を適用します。データは、複数のタイプのツールを使って暗号化することができます。前述の資産の損失によって引き起こされたデータの損失の例では、ハードディスクを暗号化することでリスクが軽減された可能性があります。しかしながら、ハードドライブの暗号化は、データがハードディスクから持ち出された場合、特にネットワークの境界の外に出るような場合には役に立ちません。ファイルレベルの暗号化ツールは保護レイヤーを追加してくれますが、これらのツールは、過去にはキーとパスワードを知り、ファイルへのアクセス権を持つ内部関係者によって妨害されています。さらに、キー管理を効果的に拡張することが困難な場合、企業レベルでの実装に制限がかかる可能性があります。その結果、エンドユーザーは多くの場合、IT の一元化された管理プロセスの範囲外となる消費者向けのファイルレベルのデータ暗号化製品を使用することになり、更なるコントロール上の弱点が生じます。
  しばしばエンドユーザーが、データ損失の根本的原因になる場合があります。例えば、図3 に示されている2016 年のカリフォルニアのデータ侵害報告結果には、よくあるテーマが反映されています。¹⁸ 2012 年から2015 年までの間の侵害の17 パーセントを占めるエラーのカテゴリは、内部関係者（従業員またはサービス提供社）が意図せずにおこなった、またはおこなわなかった、個人データを権限のない個人に暴露する事象に起因しています。チャートには、物理的なカテゴリも含まれています。このカテゴリには、意図的な盗難と、意図していないハードウェアの損失の両方が含まれます。COBIT はDSS05.02 およびDSS05.03 の格付けに従い、ストレージ内および送信中の情報の暗号化を対象にしています。
• ユーザーの意識̶組織はポリシー、手順、トレーニング、さらにはフィッシングのシミュレーションテストを通じて、エンドユーザーの意識を高めています。しかしながら、悪意のある行為者は、依然として機密データへのアクセスを得るために従業員をターゲットにしています。手順へのコンプライアンスを高め、セキュリティツールや監視を全面的に受け入れてもらうためには、組織内でセキュリティ文化を構築する必要があります。元米国のホワイトハウス警護室の最高情報セキュリティ責任者であるSteve Pugh は、彼が実践している受け入れられる方法を次のように述べています。「あなたのことは信用していますが、あなたのマシンから出て来るパケットが信用できないんです。」¹⁹ これは意図的および意図的でないデータ漏洩の両方に対処するにあたり必要となるコントロールを導入する際に、効果的な文化的実現要因となり得ます。DSS05.01 は、悪意のあるソフトウェアに対する意識向上を伝達し、予防手順と責任を強化することの重要性を強調しています。
• アクセス管理̶アクセス管理に適切に対応することが、困難な課題となることがあります。ほとんどの組織が、従業員と請負業者の絶え間ない流れ、社内および社外にホストされたアプリケーションの増加、そして、職務の分離における著しい複雑性に取り組んでいます。組織のネットワークの外に意図せずに配信されてしまったファイルへのアクセスを制限することは、データアクセスに対する真のエンドツーエンド管理に大変な障害をもたらします。APO07.06、DSS05.04、 DSS05.06 及びDSS06.03 を含め複数のプロセスで、請負業者のアクセス契約、アクセスの再調査、アクセス原則、アクセス権の割り当て、および職務の分離が取り上げられています。
• ロギングと監視̶ロギングと監視は、セキュリティ事象を検出し、インシデント管理手続きを開始する証拠を提供します。主な課題には、企業ネットワーク外から従業員がアクセスできるサードパーティのクラウドアプリケーションの監視や、大量のログデータを効果的に管理するための自動化が不十分であることなどが挙げられます。DSS 05.07 は、ロギング、ログの詳細レベル、およびログの再調査に重点を置いています。
• マルウェア対策̶このソフトウェアは、契約上や業界の規則によって必要とされることがよくあります。しかしながら、悪質な行為者達は長年に渡って更に多くの知識を得て、一般的なマルウェアツールを回避するためのハッキングを意図的に開発してきました。このいたちごっこは日々続いていますが、マルウェア対策ソフトウェア単独で端末とネットワークを包括的に保護できる時代ははるか昔のことです。COBIT は、受信トラフィックをフィルタリングして未承諾情報から保護するために、更新された定義ファイルを使用して悪意のあるソフトウェアに対する保護ツールをインストールし有効にする際の基準をDSS05.01 で文書化しています。
• ファイアーウォール̶このネットワークセキュリティシステムは、かってはデータを効果的に保護する城壁として機能していましたが、これまで以上にデータが設計上企業ネットワーク外に出ており、クラウドやパートナーの接続、個人所有の機器の持ち込み（BYOD）の組織内での実施に よって導入された多数の消費者が管理するデバイスに、データは流出しています。この変化し続ける状況の中、ファイアウォールは依然として縦深防御戦略の重要な部分となりますが、軽減される範囲には今限りがあります。COBIT プロセスの DSS05.02 は、ポリシーに従って送着信トラフィックをコントロールするネットワークフィルタリング機構の実装に重点を置いたものです。

現在のデータ保護コントロールの大半は縦深防御戦略の一部となっていますが、現在ある脅威の状況に対処するという点ではこれらのコントロールの多くに限界があり、その結果リスクが緩和されていません。今後、意図しないデータ損失のリスクをさらに低減するために、別のソリューションについても見極める必要があります。

データ保護の未来

最終的には、技術的なセキュリティコントロールはデータの保護に重点を置いたものであるべきです。これは、データが企業の境界の外に出た場合でも、その時点で誰が機密データにアクセスしているかを制御することで、意図的かつダイナミックにポリシーを変更することを意味します。組織は、組織ネットワーク内外のデータ使用状況を分析し、特定のデータにアクセスしようとする個人の役割に基づいて、アクセスの異常を特定する機能を構築する必要があります。さらに、クラウドの拡張性を活用して、作成中、使用中、保管中、および転送中にデータを保護できるようにするため、データ暗号化をアプリケーションから切り離す必要があります。こうすることで、セキュリティとアクセス管理、分析をデータと結び付けるために役立ちます。

結論

意図しない、または意図的なデータ損失による違反にかかるコストと信頼の喪失は高くつき、インシデントはあまりにも頻繁に発生しています。組織のリーダーは、絶え間なく変化する脅威と規制の状況にあるニーズを満たすために必要となるコントロール、拡張性、可視性、そして柔軟性を提供するデータ保護戦略の開発に専念する必要があります。これらのセキュリティ上の特性によりリスクが緩和され、意図しないデータ損失の防止、特定、および軽減ができるようになります。

後注

¹ Alphabet Inc., 2016 10-K Form, 2017, https://abc.xyz/investor/pdf/20161231_alphabet_10K.pdf
² Department of Health and Human Services (DHHS), “Enforcement Highlights,” USA, 31 March 2017, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/enforcement-highlights/index.html
³ European Union, “General Data Protection Regulation (GDPR) Portal: Site Overview”
⁴ European Union, “GDPR Key Changes”
⁵ Ibid.
⁶ Department of Health and Human Services (HHS), “Top Five Issues in Investigated Cases Closed With Corrective Action, by Calendar Year,” USA, 16 September 2016, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/data/top-five-issues-investigated-cases-closed-corrective-action-calendar-year/index.html
⁷ Department of Health and Human Services, “Data Breach Results in $4.8 Million HIPAA Settlements,” USA, 7 May 2014, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/examples/new-york-and-Presbyterian-hospital/index.html
⁸ California Correctional Health Care Services, “Potential Breach of Patient Health Information,” USA, 13 May 2016
⁹ Department of Health and Human Services, Office for Civil Rights, “Breach Portal: Notice to the Secretary of HHS Breach of Unsecured Protected Health Information,” USA, https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
¹⁰ Department of Health and Human Services, “Alaska DHSS Settles HIPAA Security Case for $1,700,000,” USA, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/examples/alaska-DHSS/index.html
¹¹ Department of Health and Human Services, “Business Associate’s Failure to Safeguard Nursing Home Residents’ PHI Leads to $650,000 HIPAA Settlement,” USA, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/agreements/catholic-health-care-services/index.html?language=es
¹² Smitheringale, S.; “New Report: Patient Confidentiality Broken 6 Times a Day,” Big Brother Watch, 14 November 2014, https://www.bigbrotherwatch.org.uk/2014/11/new-report-patient-confidentiality-broken-6-times-day/
¹³ New Hampshire Office of the Attorney General, “Re: Notification of Data Security Incident,” USA, 17 April 2014, www.doj.nh.gov/consumer/security-breaches/documents/willis-north-america-20140417.pdf
¹⁴ Department of Health and Human Services “HHS Settles With Health Plan in Photocopier Breach Case,” USA, 7 August 2013, https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/examples/health-plan-photocopier-breach-case/index.html
¹⁵ Seward, Z. M.; “Bloomberg Accidentally Posted Private Terminal Messages Online,” Quartz, 13 May 2013, https://qz.com/84004/bloomberg-accidentally-posted-private-terminal-messages-online/
¹⁶ Sanger, D. E.; N. Perlroth; “Bank Hackers Steal Millions via Malware,” The New York Times, 14 February 2015, https://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?_r=0
¹⁷ ISACA, COBIT 5 Implementation—Supplemental Tools and Materials, USA, 2 December 2013
¹⁸ Harris, K.; “California Data Breach Report 2012-2015,” California Department of Justice, February 2016, https://oag.ca.gov/sites/all/files/agweb/pdfs/dbr/2016-data-breach-report.pdf?
¹⁹ Pugh, S.; Data Protection Update Course, The Proscenium, Atlanta, Georgia, USA, 22 September 2016