個人情報漏えいの実態とデータベース・セキュリティ

個人情報漏えいの実態とデータベース・セキュリティ

 2018.06.18  株式会社ネットワークバリューコンポネンツ

個人情報漏えいの実態

2012年12月7日、NPO日本ネットワークセキュリティ協会が発表した「2011年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~第1.2版」には、一人あたりの平均想定損害賠償額が以下のように記載されています。

  一人あたりの平均想定損害賠償額
2005年 4万547円 左記の「一人あたり平均想定損害賠償額」は、日本ネットワークセキュリティ協会が2004年に公表した2003年度版「想定損害賠償額算定式」に基づいて計算されていますが、今でも現実の判決で出された賠償額に近いため改定されずに使い続けられています。
想定損害賠償額=漏洩個人情報価値情報漏洩元組織の社会的責任度事後対応評価
  1. 漏洩個人情報価値
    漏洩データの価値がどの程度のものかを示す値で、基礎情報価値(500 ポイント)、機微情報度(経済的損失レベルと精神的損失レベルから計算)、本人特定容易度を掛け合わせて決定されます。
  2. 情報漏洩元組織の社会的責任度
    企業または組織の社会的責任度を2段階で評価します。「個人情報の保護に関する基本方針(平成16年4月 2 日閣議決定)」に「適正な取扱いを確保すべき個別分野」として挙げられている業種を基準として、そこへ政府機関などの公的機関および知名度の高い企業の責任が重いと判断します。
  3. 事後対応評価
    漏洩事故発生後の対応を2段階で評価します。
2006年 3万6743円
2007年 3万8228円
2008年 4万3632円
2009年 4万9961円
2010年 4万2662円
2011年 4万8533円
Hospital 病院で 氏名、住所、病名 が漏洩すると・・・
1件 66,000 X 漏洩件数分の出費
Government 市役所で氏名、納税金額が漏洩すると・・・
1件 45,000 X 漏洩件数分の出費
Net shop ネットショップでクレジットカード番号、 有効期限が漏洩すると・・・
1件 50,500
ISP 通信事業者でアカウントとパスワードが 漏洩すると・・・
1件 3,000 X 漏洩件数分の出費

Imperva製品に関するお役立ち資料

データベース・セキュリティの必然性

2011年6月に発表された「データベース・セキュリティ・コンソーシアム」が公開した「緊急提言:オンラインサービスにおけるデータベースと機密情報の保護」では、データベース・セキュリティ対策の必要性が訴えられています。

従来ファイア・ウォール、IDS/IPS、Web Application Firewall(WAF)等、いわゆる境界防御を中心として考えられてきたインターネット上のセキュリティ対策であるが、攻撃者がそれらを突破し、情報を格納しているデータベースそのものを攻撃することがあるという事実が、今我々の眼前に突きつけられている。既に「境界防御をしっかりしていたので、データベースに対する直接攻撃は想定外だった」というのは、言い訳できない時代に突入しているのである。

[SMART_CONTENT]

残念なことに、データベースに対する攻撃者がいるのは、ファイアウォールの外側だけではなく、従業員が社内犯行を企てる可能性もあるのです。つまり、侵入経路を問わずデータベースを保護するには、データベースサーバを直接保護するアプローチが重要なのです。
では、データベース・セキュリティ製品に求められる要件は何でしょうか?

  • データベースのアクセス・ログの取得
  • データベースへのアクセスの分類
  • 不正アクセスの検知とブロック

つまり、以下のような選定ポイントをクリアできるデータベース・ファイアウォール製品ならば、被害を未然に防いだり、仮に被害に遭ったとしても規模を小さくすることが可能だと考えられます。

  1. データベースへのすべてのアクセスを漏れなくログとして記録できるか。
  2. データベースへのアクセス・ログ取得でパフォーマンス劣化しないか。
  3. データベースへのアクセス・ログを高圧縮して保管できるか。
  4. 完全性を求めるため、ホワイト・リストでデータベースへのアクセスを分類できるか。
  5. 高速かつ高度なSQL文法分析機能を備えているか。

Imperva SecureSphereデータベース・セキュリティ製品には、SecureSphere データベースアクティビティモニタリング(DAM)と、SecureSphere データベースファイアウォール(DBF)があります。SecureSphere DAM/DBFは、データベースのサーバ・クライアント間の通信を監視し、SQL のアクセスを記録します。導入時に平常時のアクセスパターンを学習し、例外的なデータベースアクセスを識別します。

2013年2月26日、NVC主催「外部攻撃と内部漏洩の脅威から情報資産を徹底的に防御」セミナーで、Impervaが提供するデータベース・セキュリティ機能について講演がありました。
2013年2月26日に開催されたセミナーの資料をダウンロードできます。

[RELATED_POSTS]

{% if contact.email %} {% else %}
{% set box_index = 1 %} {% for item in module.smart_content %}
{{ item.new_visitor.smart_content }}
{% set box_index = box_index + 1 %} {% endfor %}
{% endif %}
マイナンバー対策はお済みですか?

RECENT POST「コラム」の最新記事


個人情報漏えいの実態とデータベース・セキュリティ
Impervaご紹介資料

RANKING人気資料ランキング

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

RECENT POST 最新記事

TOPIC トピック一覧