セキュリティにおけるOffensive Defenseの在り方とは――EquifaxとMarriottにおける個人情報流出の教訓Gartner Insights Pickup(119)

企業は個人向けサービスにおける本人確認で、静的な個人情報を当たり前のように利用してきた。だが、静的情報への依存によるリスクは、ますます拡大しつつある。

» 2019年08月02日 05時00分 公開
[Christy Pettey, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 信用情報会社のEquifaxは2017年、米国の消費者1億4500万人の個人データと、カナダおよび英国在住者の一部の情報が流出したと発表した。その中には氏名、住所、社会保障番号、生年月日などが含まれていた。

 その約1年半後、Marriott Internationalは、傘下のStarwood Hotelsの宿泊予約データベースが不正アクセスされ、最大で5億人の顧客の個人情報が漏えいしたことを認めた。被害に遭った顧客は、氏名や住所からパスポート番号、Starwoodの特典情報まで、同データベースに登録されていた全ての個人情報が侵害されたという。

 「これらの侵害は、被害に遭った企業固有の特殊な事例ではない。あらゆる種類の企業に対して、常に多くの攻撃が仕掛けられている。これらのことは、今日の情報処理環境では、消費者は自分のデータプライバシーを管理できないことを浮き彫りにしている」と、Gartnerのアナリストでディスティングイッシュト バイスプレジデントのアビバ・リタン氏は指摘する。

 「個人情報が流出した恐れがあると思われる場合に推奨される解決策の1つは、信用情報会社の大手3社全てに、信用情報の凍結を依頼し、盗まれた自分の情報をクラッカーが悪用できないようにすることだ。だが、この措置で防げるクラッキングは、自分が被害にあう可能性があるもののうち5%に満たないだろう」(リタン氏)

盗まれたデータはどのように使われるか

  • 闇市場で販売、転売される可能性がある。
  • 既存の盗難IDデータを更新するのに使われる可能性がある。既存の盗難IDデータはもともと潤沢にあるが、電話番号と住所が少し古くなっている。
  • 既存アカウントの乗っ取りに使われる可能性がある。その中には、銀行口座、証券口座、電話サービスアカウント(最近では、ビットコインのウォレットホルダーのように、よく使われる)、年金口座などが含まれる。
     「流出したPII(個人が特定可能な情報)データは、コールセンターやオンラインシステムでリスクの高いトランザクション(資金の移動やアカウント、口座に登録されている電話番号の変更など)が行われる際に、ID確認に使われることになる。つまり、犯罪者は盗まれた最新のPIIデータで武装することで、簡単に標的になりすまし、アカウントや口座を悪用できる」(リタン氏)
  • 米国社会を混乱させたり、米国社会から有形、無形の資産を盗んだりする邪悪な計画を持つ敵対国によって買い取られ、使用される可能性がある。使用目的はさまざまなものが考えられる。政治プロセスを混乱させることや、武器関連システム(ミサイル防衛など)の製造に使われる貴重な知的財産の窃盗、あるいは、ぜいたくなハンドバッグや香水のような消費財の図面を盗むなど、より政治性の薄いミッションといった具合だ。

企業はID認証/確認のために何をすべきか

 Gartnerによると、データが犯罪者の手に渡っている可能性が50%以上ある場合、企業が静的PIIのみに頼って個人を識別しようとするのは不適切だ。企業はID確認に関して、静的パーソナルデータへの依存を減らし、動的IDデータの利用を増やさなければならない。動的な非PIIデータと行動指標に基づくシステムの方が、安定した静的PIIデータに基づくシステムよりも、提示されたIDの正当性とリスクを的確に評価できる。

 しかし、さらに高度なのは多層型のID認証アプローチであり、不正ユーザーによる企業の資産やシステムの侵害を極めて困難にする。どんなID評価方法も、単独で使用するだけでは、確信的な犯罪者を締め出したり、提示された個々のIDの正当性を確認したりするには不十分だ。

 ブロックチェーンの分散型台帳も、分散IDの運用のために利用されるようになっている。自己主権型アイデンティティーと呼ばれることが多いこの技術を使えば、消費者は自分のIDデータを管理し、相手を選んで提供できる。「この技術はまだあまり普及していない。だが、こうしたことが可能になるのは、歓迎すべき進化だ」(リタン氏)

 不正対策、セキュリティ、ビジネス担当マネジャーにとって最善策は、多層型のID評価プロセスを採用することだ。このプロセスでは、各層は前の層を通過したIDだけをチェックする。このため、犯罪者があるIDを使用し、ある層を迂回(うかい)しても、そのIDは次の層で必ずブロックされる。各層が、前の層を通過したIDをチェックし、正当性の保証を付加して、次の層に引き継ぐ作業が積み重ねられていく。

まとめるとどういうことか

 ID評価は、1回限りのイベントではない。認証やトランザクションによってトリガーされる継続的サイクルでなければならない。企業は、リスク許容度やID保証要件、コストに基づいて、どの多層型アプローチを取るかを選択すればよい。状況は流動的であり、ユーザー構成が絶えず変わることも想定しておく必要がある。こうした条件に対応できる最適なID評価戦略を策定すべきだ。

出典:An Offensive Defense:Lessons from the Equifax and Marriott Breaches(Smarter with Gartner)

筆者 Christy Pettey

Director, Public Relations


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。