iStock_000025803353_XXXLarge

写真拡大

最大で約793万人分という大規模な個人情報の流出の可能性が明らかになった旅行代理店のJTB。2015年には同様の手口で日本年金機構の情報漏えいが起こっており、こちらも大量の個人情報が漏えいしている。

しかし、実は「不正アクセスを検知し、被害状況を把握」しているだけでまだ“マシ”なのかもしれない。

侵害が発覚するのに平均205日

ファイア・アイが発表しているセキュリティ侵害の被害統計によると、企業のセキュリティ侵害発覚までに要する平均日数はなんと205日だという。これに比べ、最初の侵入からデータが外部送信されるまでの時間は最短で7分。あまりにも十分すぎる時間を侵入者に与えていることになる。

また、侵害の事実を外部から指摘された企業の割合は69%。つまり、ほとんどの企業が「不正アクセスの検知すらまともにできていない」のだ。

では、企業は情報を守るためにどうすれば良いのだろうか。どのセキュリティベンダーも口酸っぱく唱えるのは、「セキュリティ対策≠ソリューションの導入」ということだ。

つまり、いくら優秀なソリューションをいくつも導入しても、それをインテグレートできるスキルを持つ人材がいなければ意味がない。また、有事の際に、迅速な決断促すために、経営層や財務部門の理解も必要だという。

ちなみに、先ほどのファイア・アイ発表の被害統計では、侵害によって生じる損失の平均は約3億円だという。経営層や財務部門への理解を得るには、「700万人分の情報漏えいリスクがある」と伝えるよりも、「3億円の特損を計上するリスクがある」と伝えたほうが良い、ということは念のため明記しておこう。

(ReadWrite[日本版] 編集部)

ReadWrite[日本版] 編集部
[原文]