エンジニアが知っておくべき4つのデータベース攻撃シナリオ
経営リスクとしてのデータベースセキュリティ
企業が事業活動を行う上で、「個人情報」、「技術情報」、「知的財産」等の情報が非常に重要なものであることは今さら言うまでもない周知の事実であり、企業が事業活動を行う上では、これらの情報をいかに有効活用するのかが企業の競争力の源泉であると言えます。
しかし、いったん、これらの情報が漏えいしてしまった場合には、「社会的責任」、「顧客への被害」、「金銭的損失」、「法的責任」といったリスクが発生します。つまり、企業が情報の保護活動を行うことは、事業活動を行う上でのリスクを管理/低減することにほかなりません。
- 情報を活用することが競争力の源泉(リスク・テイク)
- 情報保護は事業リスクの管理のために重要(リスク・コントロール)
では、実際に情報が漏えいしてしまった場合には、どのような事態になるのでしょうか。2011年6月に「データベース・セキュリティ・コンソーシアム(注1)」が公開した「緊急提言:オンラインサービスにおけるデータベースと機密情報の保護」では、「定量化しやすい直接的な損害の例」と「定量化が難しい間接的な損害の例」として、以下のようにまとめられています。
定量化しやすい直接的な損害の例
(1)サービスが停止することで、停止期間中のオンラインゲーム、物品・サービスの販売等による売り上げと利益が失われる。その規模は企業によって異なるが、数億円~数十億円といった巨額になる場合もあり得る。
(2)また被害を受けたシステムについて、セキュリティ専門会社等に依頼し、原因究明・解析・証拠保全などを行うことが必要になるため、それらも直接的に必要となるコストである。(一般的な企業の情報システム部門では対応するノウハウを保有しないことが多いため専門家への相談と依頼が推奨される)
(3)個人情報漏えいについては、個人(情報主体)に対する謝罪等の費用が必要になる。いくつかの事例では、一部のサービス無償提供、商品券の配布などを行っており、漏えい規模が大きくなると、謝罪費用が巨額となる可能性がある。
(4)事件発生後に改善策として多額の投資を迫られることになる。これらは本来、事前に行っておくべき投資であったとも言えるが、後になって対策を講じる場合は事前に行った場合に比べて高い費用が必要になることが多い。
定量化が難しい間接的損害の例
(1)顧客企業や個人顧客からの問い合わせ対応、広報(顧客向け、マスコミ向け等)対応にかかる人件費が必要となる。これらを外部委託で行う場合はその金額が定量化できるが、内部人件費の場合はそれが見えにくくなる。
(2)社会的な企業イメージ・風評の問題が起きる。事件の原因となった情報保護体制への批判、事件発生後の対応に関する批判など、当該企業は多くの厳しい社会的批判にさらされることになる。またこれらに伴う株価への影響は明確な根拠がないものの、事業形態によっては大きな影響を及ぼす懸念も払拭できない(上場直後の企業で、サービス停止中の株価が大きく下落した事例は存在する)。
(3)事業内容・規模によっては、単一のサービスやシステムが攻撃されるだけでなく、その後、当該企業が提供する他のサービスやシステムも次々と攻撃対象となり、「標的型攻撃」の対象となってしまう場合がある。
注1:データベース・セキュリティ・コンソーシアム
広く社会に「データベース・セキュリティ」の普及促進を図っていくため、ユーザを専門家が支援、補完する形での受け皿の枠組みが必要と考え、ユーザ、システム・インテグレータを中心に、データベース・ベンダー、セキュリティ・ベンダーが参加した任意団体で2005年2月設立。アシストも設立当初より理事企業として参画。
詳細URL:http://www.db-security.org/
また、2011年9月に日本ネットワークセキュリティ協会から公開された「2011年度 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~」では、一人あたりの平均想定損害賠償額は2011年で4万8,650円との報告がされています。仮に1万人の個人情報が流出したとすると損害賠償額は4億8,560万円となります。
