開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2013/08/14

事故前のセキュリティ対策と事故後の対策、どちらがお得なのか?

連載:サイバーセキュリティ最前線

日本ではECサイトへの攻撃などにより、クレジットカード情報が漏えいする事件が後を絶たず、社会問題になっていますが、米国ではさらに深刻な事態に陥っています。米医療保険会社WellPointが、データベースに対するセキュリティの不備により、2009年~2010年の間に保険加入者60万人以上の個人情報を漏えいしました。この事件が注目を集めた理由は、そのデータベースに加入者の社会保障番号、医療情報などのセンシティブ情報が含まれていたこと。この事件を受けて、米保健福祉省(HHS)は、同社が医療保険の携行性と責任に関する法律(HIPAA)に違反したとして、170万ドル(約1.6億円)の罰金の支払いを命じました。しかし、同社の損害額はこの程度では済まないようです。

NRIセキュアテクノロジーズ 上田 健吾

NRIセキュアテクノロジーズ 上田 健吾

セキュリティベンチャー起業後、慶應義塾大学大学院21世紀COE研究員(後期博士課程)を経て、2007年に野村総合研究所に入社。NRIセキュアテクノロジーズに出向し、銀行、生損保、クレジットカード業界をはじめ、数多くのセキュリティ関連プロジェクトに参加。CISSP、CISA、CISM、QSA、ASV、CAIS-Leadなど、セキュリティ系の資格を多数保有。IT雑誌、学会誌への寄稿や、ニュースへの出演経験、登壇経験も多数。業務を通して得られる最新の情報を展開。

連載一覧
 セキュリティ専門組織のSANSでは、米医療保険会社WellPointの事件について、170万ドルの罰金は非常に大金のように感じられるものの、情報を漏えいされた60万人への対応費用は、2,000万ドル(約19億円)以上になるであろう、と評しています。その上で、本事件はわずかなセキュリティ対策で防止できたものではないと思われるものの、未然に防ぐための対策コストは、事故が発生した場合の被害総額の20%にも満たないのではないか、と締めています。

 そこで今回は、情報漏えい事件を起こさないために、未然防止に取り組むことによる利点と、具体的な取り組み方法について、ご紹介します。

セキュリティの未然防止に取り組むことはお得なのか?

 システム開発時に作りこまれてしまった脆弱性を、運用開始後に発見・修正することは、非常に大きなコストがかかってしまうとされています。IBMのKevin Soo Hooらによると、上流工程である設計段階に、セキュリティのことを意識した対策を行っていた場合に比べ、運用後にセキュリティ対策を実施しなければならなくなった場合には、60倍から100倍ものコストがかかると報告されています(図1)。

photo
図1:開発工程別のセキュリティ対策費用
(出典:Kevin Soo Hoo, “Tangible ROI through Secure Software Engineering.”Security Business Quarterly,. Vol.1, No.2, Fourth Quarter, 2001.)



 実際に、筆者がセキュリティコンサルタントとして、さまざまな業界のシステムに対するセキュリティ診断と、その対策コンサルテーションを行っている経験からも、このセキュリティ対策コストの割合は現実的であると感じます。

 前節に挙げた事件のように、実際に情報漏えいの事件が発生してしまった場合、原因となった問題の修正コストが必要になることに加え、事件への対策のための弁護費用やセキュリティ専門家などのコスト、ユーザーへの補償がかかります。企業の信用失墜による機会損失なども含めた間接的な被害も考えると、さらに莫大なコストがかかります。

 国外の大きな事件を目にしてしまうと、自身とは関係のないできごとのように思えてしまいますが、実際に国内でもこのように数多くの情報漏えい事件が起きています。

 NPO日本ネットワーク・セキュリティ協会(JNSA)の調査によると、2012年上半期における国内の情報漏えい事故による一件当たりの平均漏えい人数は1349名であり、一件当たりの平均損害賠償額は3,787万円で、一人当たりの平均損害賠償額は5万7,710円とのことです(表1)。

表1:2012年上半期 個人情報漏えいインシデント 概要データ
漏えい人数123万9626人
インシデント件数954件
想定損害賠償総額347億9,865万円
一件当たりの平均漏えい人数1349人
一件当たり平均損害賠償額3,787万円
一人当たり平均損害賠償額5万7,710円

 実際にこうした情報漏えいインシデントを起こす前に、システム開発のより上流工程からセキュリティ対策を行うことで、前述のようにコスト対効果を高めることが可能です。

 情報漏えいのリスクを排除するため、私たちはどのような未然防止対策をしていくことが可能なのでしょうか。次ページに具体的な取り組み方法をご紹介します。

【次ページ】情報漏えい事件を未然に防止するために

情報漏えい対策 ジャンルのセミナー

情報漏えい対策 ジャンルのトピックス

情報漏えい対策 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!