個人情報漏えいの実態
2012年12月7日、NPO日本ネットワークセキュリティ協会が発表した「2011年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~第1.2版」には、一人あたりの平均想定損害賠償額が以下のように記載されています。
| 一人あたりの平均想定損害賠償額 | ||
|---|---|---|
| 2005年 | 4万547円 | 左記の「一人あたり平均想定損害賠償額」は、日本ネットワークセキュリティ協会が2004年に公表した2003年度版「想定損害賠償額算定式」に基づいて計算されていますが、今でも現実の判決で出された賠償額に近いため改定されずに使い続けられています。 想定損害賠償額=漏洩個人情報価値 X 情報漏洩元組織の社会的責任度 X 事後対応評価
|
| 2006年 | 3万6743円 | |
| 2007年 | 3万8228円 | |
| 2008年 | 4万3632円 | |
| 2009年 | 4万9961円 | |
| 2010年 | 4万2662円 | |
| 2011年 | 4万8533円 | |
 |
病院で 氏名、住所、病名 が漏洩すると・・・ 1件 66,000円 X 漏洩件数分の出費 |
 |
市役所で氏名、納税金額が漏洩すると・・・ 1件 45,000円 X 漏洩件数分の出費 |
 |
ネットショップでクレジットカード番号、 有効期限が漏洩すると・・・ 1件 50,500円 |
 |
通信事業者でアカウントとパスワードが 漏洩すると・・・ 1件 3,000円 X 漏洩件数分の出費 |
データベース・セキュリティの必然性
2011年6月に発表された「データベース・セキュリティ・コンソーシアム」が公開した「緊急提言:オンラインサービスにおけるデータベースと機密情報の保護」では、データベース・セキュリティ対策の必要性が訴えられています。
| 従来ファイア・ウォール、IDS/IPS、Web Application Firewall(WAF)等、いわゆる境界防御を中心として考えられてきたインターネット上のセキュリティ対策であるが、攻撃者がそれらを突破し、情報を格納しているデータベースそのものを攻撃することがあるという事実が、今我々の眼前に突きつけられている。既に「境界防御をしっかりしていたので、データベースに対する直接攻撃は想定外だった」というのは、言い訳できない時代に突入しているのである。 |
残念なことに、データベースに対する攻撃者がいるのは、ファイアウォールの外側だけではなく、従業員が社内犯行を企てる可能性もあるのです。つまり、侵入経路を問わずデータベースを保護するには、データベースサーバを直接保護するアプローチが重要なのです。
では、データベース・セキュリティ製品に求められる要件は何でしょうか?
- データベースのアクセス・ログの取得
- データベースへのアクセスの分類
- 不正アクセスの検知とブロック
つまり、以下のような選定ポイントをクリアできるデータベース・ファイアウォール製品ならば、被害を未然に防いだり、仮に被害に遭ったとしても規模を小さくすることが可能だと考えられます。
- データベースへのすべてのアクセスを漏れなくログとして記録できるか。
- データベースへのアクセス・ログ取得でパフォーマンス劣化しないか。
- データベースへのアクセス・ログを高圧縮して保管できるか。
- 完全性を求めるため、ホワイト・リストでデータベースへのアクセスを分類できるか。
- 高速かつ高度なSQL文法分析機能を備えているか。
Imperva SecureSphereデータベース・セキュリティ製品には、SecureSphere データベースアクティビティモニタリング(DAM)と、SecureSphere データベースファイアウォール(DBF)があります。SecureSphere DAM/DBFは、データベースのサーバ・クライアント間の通信を監視し、SQL のアクセスを記録します。導入時に平常時のアクセスパターンを学習し、例外的なデータベースアクセスを識別します。
2013年2月26日、NVC主催「外部攻撃と内部漏洩の脅威から情報資産を徹底的に防御」セミナーで、Impervaが提供するデータベース・セキュリティ機能について講演がありました。
2013年2月26日に開催されたセミナーの資料をダウンロードできます。
この記事に関するサービスのご紹介
