情報漏えい件数、2021年に再び過去最高を記録
2022年1月11日、Mike Vizard
2021年に起きた情報漏えいが記録的な数になることは現時点で間違いないでしょう。米国のIdentity Theft Resource Center(ITRC)の報告によると、2021年9月30日までに発生した情報漏えいの総件数が、すでに2020年の総件数を17%上回っています。Log4jのようなゼロデイ脆弱性により、この数字はさらに増えると考えられます。
2021年で最も深刻だった情報漏えいは、サイバーセキュリティアナリティクス企業Cognyteが収集したデータが50億件も流出していたこと、そしてLinkedInユーザー約7億人の個人データがダークウェブで売りに出されていたことです。これまでの漏えい件数を見ても、この2件はいずれも上位10位以内に入るほど記録的な数字となっています。
Providence社によるITソリューションの恩恵がなければ、今日、あらゆる組織が大規模な情報漏えいに見舞われていたでしょう。サイバーリスク管理プラットフォームを提供するVulcan Cyberに代わって、調査会社Pulseが企業で働くIT・セキュリティ専門家を対象に実施した調査によると、現在組織にとって機密情報の公開に関する大きな懸念はアプリケーションの脆弱性(54%)で、次いで認証の突破(44%)、セキュリティの設定ミス(39%)、不十分なロギングと監視(35%)、インジェクション(32%)が上位を占めています。また、組織が最も懸念しているのはMS14-068というMicrosoft Kerberos認証の特権のないユーザアカウントに対する脆弱性であるということが、この調査でわかりました。
しかし、今回の調査では、脆弱性の重要度が正確でないことも明らかになりました。4分の3以上(78%)の回答者が、サードパーティーが特定した優先度の高い脆弱性は、組織に与え得る影響度合いを考慮すると、実際にはもっと低くランク付けされるべきだと答えています。また逆に、3分の2以上(69%)の回答者が、ランクの低い脆弱性はより上位に位置付けるべきとも指摘しています。80%以上の回答者が、脆弱性の重要度を決定する際、特定のリスク環境に基づいて、直感などといった柔軟な考え方を採用することが有益であると答えています。
どの国の政府からも罰金や罰則が科せられる可能性がある中、セキュリティに関する膨大な懸念事項をよそに、企業はデータ管理の仕方を変えようとしていません。情報の漏えいをできる限り防ぐために、機密データの保存量を減らすことが企業にとって賢明な策となります。エンドユーザーがあらゆる個人情報(PII)を入力しがちなスプレッドシートに見られるように、企業は必要以上に多くのデータを保存する傾向があります。サイバー犯罪者とそのデータを隔てるものは、いとも簡単に破ることのできるパスワードのみです。データを蓄積しがちな組織にとって、サイバーセキュリティにおける最大の敵は自分自身であるということがよくあります。
2022年がどういった年になるかを断定することはできませんが、サイバーセキュリティ攻撃の質が上がり、量的にも増えるであろうことは確かです。しかし、もし企業が2021年の体制のままで異なる結果を期待し続けるのなら、アルバート・アインシュタインが予測したように、2021年に私たちが成し遂げた偉業は、サイバーセキュリティにおける新たなレベルの狂気をもたらしたことでしょう。
原文はこちら:
Data breaches reached another all-time high in 2021
January 11, 2022 Mike Vizard
https://blog.barracuda.com/2022/01/11/data-breaches-reached-another-all-time-high-in-2021/
