JNSA 2013年度 活動報告会 【調査研究部会】 2013年 情報セキュリティ インシデントに関する調査報告 ~個人情報漏えい編~ セキュリティ被害調査WG 共同調査: 情報セキュリティ大学院大学 原田研究室、廣松研究室 大谷 尚通 (株)NTTデータ 2014年 6月10日 セキュリティ被害調査ワーキンググループ 目的 情報セキュリティインシデントにおける被害の定量化 適切な情報セキュリティに対する投資判断、 投資対効果の提示 企業における情報セキュリティインシデントに係る被害額・投資額などの実 態をアンケートやヒアリングによって調査した。この調査結果をもとに「情報 セキュリティインシデントに関する被害額算出モデル」を策定 一年間に報道された個人情報漏えいインシデント(事件・事故)を調査・分析 し、「JOモデル(JNSA Damage Operation Model for Individual Information Leak)」を用いて想定損害賠償額などを推定し、報告書を公開 情報セキュリティ分野において 被害の定量化や投資対効果の 考え方をもっと普及・発展させたい Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 2 / 27 1. 2013年 個人情報漏えいインシデント① 期間:2013年1月1~12月31日(※12ヶ月分) インターネットニュースなどで報道されたインシデントの記事、 組織からリリースされたインシデントの公表記事などをもとに集計 2013年データ 漏えい人数 931万2543人 漏えい件数 1333件 想定損害賠償総額 一件当たりの漏えい人数 2020億6575万円 7385人 一件当たり平均想定損害賠償額 1億6024万円 一人当たり平均想定損害賠償額 2万7675円 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 3 / 27 1. 2013年 個人情報漏えいインシデント② 期間:2013年1月1~12月31日(※12ヶ月分) インターネットニュースなどで報道されたインシデントの記事、 組織からリリースされたインシデントの公表記事などをもとに集計 2013年データ 2012年データ 漏えい人数 931万2543人 972万65人 漏えい件数 1333件 2357件 2020億6575万円 2132億6405万円 7385人 4245人 一件当たり平均想定損害賠償額 1億6024万円 9313万円 一人当たり平均想定損害賠償額 2万7675円 4万4628円 想定損害賠償総額 一件当たりの漏えい人数 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 4 / 27 1. 2013年 個人情報漏えいインシデント③ 期間:2013年1月1~12月31日(※12ヶ月分) インターネットニュースなどで報道されたインシデントの記事、 組織からリリースされたインシデントの公表記事などをもとに集計 2013年データ 2012年比較 漏えい人数 931万2543人 -40万7522人 漏えい件数 1333件 -1024件 想定損害賠償総額 一件当たりの漏えい人数 2020億6575万円 -111億9830万円 7385人 +3140人 一件当たり平均想定損害賠償額 1億6024万円 +6711万円 一人当たり平均想定損害賠償額 4万4628円 -1万6953円 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 5 / 27 1.2 漏えい人数と件数(経年) 3,053万人 2,500件 3000万人 2,357件 2500万人 2,000件 2,224万人 2000万人 1,679件 1500万人 1000万人 1,373件 1,032件 881万人 1,500件 1,551件 1,539件 1,334件 972万人 931万人 993件 864件 723万人 2007年 2008年 572万人 558万人 628万人 500万人 0万人 2005年 2006年 2009年 2010年 2011年 漏えい人数は、ほぼ横ばい Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 2012年 2013年 漏えい人数 インシデント件数 公 件表 数さ 500件は れ もた っイ 0件 とン もシ 多デ いン ト 1,000件 Page 6 / 27 2. 2013年 インシデント・トップ10 No. 漏えい人数 業種 1 400万人 情報通信業 2 169万2496人 情報通信業 3 情報通信業 が多い 47万人 卸売業,小売業 原因 不正アクセス 不正アクセス 不正アクセス 4 42万6000人 公務(他に分類されるものを除く) 紛失・置忘れ 5 24万3266人 情報通信業 不正アクセス 6 17万5297人 情報通信業 設定ミス 7 15万0165人 卸売業,小売業 不正アクセス 8 12万0616人 金融業,保険業 9 10万9112人 情報通信業 管理ミス 2013年は 不正アクセスが 不正アクセス 急増! 不正アクセス 10 9万7438人 情報通信業 100万人以上! リスト型アカウントハッキング Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 7 / 27 3.1 業種別の漏えい件数 2012年 (N=2357件) 2013年 (N=1333件) 金融業,保険業 (1094件) 公務 (588件) 公務 (486件) 金融業,保険業 (229件) 教育,学習支援業 (302件) 教育,学習支援業 (161件) 医療,福祉 (106件) 情報通信業 (77件) 上位3業種は同じ 情報通信業 • 順位/比率は上昇しているが件数は去年と同じ • 原因不明が多い Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 8 / 27 3.1 業種別の漏えい件数(経年) 「金融業,保険業」の 件数が大幅変化 2,000件 8件 公務(他に分類されるものを除く) サービス業(他に分類されないもの) 486件 複合サービス事業 医療,福祉 38 件 8件 106件 398件 469件 500件 0件 生活関連サービス業,娯楽業 302件 1,500件 1,000件 教育,学習支援業 139件 69件 33件 54件 84件 3件 15 件 293件 114件 17件 84件 66件 49 件 11 1件 件 2005年 (n=1032) 203件 98件 52件 42件 108件 6 36件 件 136件 70件 6件 108件 61件 52 件 9 6件 2006年 (n=993) 181件 47件 32件 73件 88件 11 49件 件 131件 65件 10件 98件 32 件 37 件 6 4件 2007年 (n=864) 88件 21件 91件 178件 4件 33件 159件 73件 56件 95件 39件 37 件 28 件 2件 2008年 (n=1373) 65件 40件 64件 81件 4 9 39 2件 件 件 555件 516件 学術研究,専門・技術サービス業 不動産業,物品賃貸業 58件 23件 156件 191件 9 8 4件 件 39 件 589件 36 29件 件 109件 216件 15 件 6 3件 33 件 420件 332件 55 9件 80件 件 29 件 24 19件 件 2010年 (n=1679) 48 19件 件 95件 57件 21 16件 件 2011年 (n=1551) 金融業,保険業 卸売業,小売業 1,094件 32 0件 77件 件 161件 21 件 2件 13 件 25 件 626件 52 8件 81件 件 29 件 23 18件 件 2009年 (n=1539) 宿泊業,飲食サービス業 14 5件 24 件 23件 件 34件 37件 83件 50件 26 件 17 2件 件 2012年 (n=2357) Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 運輸業,郵便業 情報通信業 電気・ガス・熱供給・水道業 229件 製造業 33 12件 件 77件 35 件 19 件 9件 2013年 (n=1334) 建設業 農業,林業 Page 9 / 27 参考: 箱ひげ図 ばらつきのあるデータをわかりやすく表現するための統計学的グラフ 外れ値 最大値 1.5h データ個数の75% 数値の差=h 中央値 データ個数の25% 1.5h 外れ値 最小値 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 10 / 27 3.1 業種別の漏えい件数(箱ひげ図) 対数軸 1000万人 最大値は 1000人程度 10万人 10人 宿泊業,飲食サービス業(n=1) 生活関連サービス業,娯楽業(n=15) 建設業(n=9) 製造業(n=16) 情報通信業(n=71) 運輸業,郵便業(n=11) 不動産業,物品賃貸業(n=20) 電気・ガス・熱供給・水道業(n=34) サービス業(他に分類されないもの)(n=25) 学術研究,専門・技術サービス業(n=9) 教育,学習支援業(n=151) 金融業,保険業(n=225) 卸売業,小売業(n=30) 公務(他に分類されるものを除く)(n=573) 医療,福祉(n=71) Page 11 / 27 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 最小値は 1人から 100~1万人/件が中心 ⇒規模が大きめ 1~10人/件 規模が中心 1人 外れ値 100万人 1万人 1,000人 100人 3.1 業種別の漏えい件数(箱ひげ図) 対数軸 1000万人 宿泊業,飲食サービス業(n=1) 生活関連サービス業,娯楽業(n=15) 建設業(n=9) 製造業(n=16) Page 12 / 27 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 情報通信業(n=71) 運輸業,郵便業(n=11) 公務(他に分類されるものを除く)(n=573) 卸売業,小売業(n=30) 金融業,保険業(n=225) 教育,学習支援業(n=151) 学術研究,専門・技術サービス業(n=9) サービス業(他に分類されないもの)(n=25) 電気・ガス・熱供給・水道業(n=34) 不動産業,物品賃貸業(n=20) 大規模なインシデントが 発生する恐れあり ば特 らに つ外 きれ が値 大の き い 医療,福祉(n=71) 1人 ←10~100万人規模 の漏えいに注意 100万人 10万人 1万人 1,000人 100人 10人 3.2 原因別の漏えい件数 2012年 (N=2357件) 2013年 (N=1333件) 管理ミス (1391件) 誤操作 (488件) 誤操作 (474件) 管理ミス (383件) 紛失・置忘れ (189件) 紛失・置忘れ (200件) 盗難 (88件) 盗難 (79件) 管理ミス(=誤廃棄) 誤操作(=ケアレスミス) による漏えいが多い 上位の原因に大きな変化はなし Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 13 / 27 3.2 原因別の漏えい件数(経年) 2012年は 「管理ミス」の 件数が大幅増加 2,000件 5件 件 16 53件 1,500件 8 4 19 4件 件 80件 件 305件 1,000件 500件 15 件 22 件 14 20 件 34件 件 53 12件 件 128件 434件 266件 0件 14 件 11 9件 2005年 (n=1032) 12 17 件 21 件 6件 81件 件 82件 17件 146件 290件 189件 9件 121件 2件 2006年 (n=993) 6 5 8 1件 件 68 件 11 15 26 件 7件 77件 件 不明 その他 内部犯罪・内部不正行為 目的外使用 1,391件 不正な情報持ち出し 609件 6件 11 13 10 件 23件 件 管理ミス 383件 設定ミス 497件 784件 17件 60件 22件 23件 42件 誤操作 紛失・置忘れ 176件 34件 157件 483件 177件 194件 143件 7件 72 10件 件 2007年 (n=864) 12 件 19 件 9件 10 73件 件 11 8件 件 30 件 11 60件 件 14件 543件 539件 474件 489件 369件 211件 200件 189件 213件 122件 154件 79件 88件 128件 117件 103件 10 35 66 件 17 30 件 10 9件 18 件 6件 件 8件 件 件 6件 28 25 22件 20 5 17 件 7件 件 件 件 件 2008年 2009年 2010年 2011年 2012年 2013年 (n=1373) (n=1539) (n=1679) (n=1551) (n=2357) (n=1334) 盗難 不正アクセス ワーム・ウイルス バグ・セキュリティホール 「管理ミス」「誤操作」「紛失・置き忘れ」の ヒューマンエラー系のインシデントが3大要因 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 14 / 27 3.2 原因別の漏えい件数(箱ひげ図) 対数軸 メール誤送信 (小規模) ば ら つ き が 大 き い 10万人 1万人 1,000人 100人 10人 100万人 目的外使用(n=9) 不明(n=6) 不正な情報持ち出し(n=19) 内部犯罪・内部不正行為(n=8) Page 15 / 27 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 ワーム・ウイルス(n=3) バグ・セキュリティホール(n=6) その他(n=10) 紛失・置忘れ(n=186) 盗難(n=75) 設定ミス(n=36) 不正アクセス(n=55) 誤操作(n=474) 管理ミス(n=374) 1人 1件あたりの 漏えい人数が 多い 1000万人 3.3 媒体別の漏えい件数 PC 本体 その他 55 件 インターネット 39 件 4.1% 2.9% 123 件 2012年 (N=2357件) 不明 10 件 0.8% 9.2% 電子メール 121 件 9.1% USB 等可搬記録 媒体 109 件 8.2% 紙媒体 876 件 65.7% 2013年 (N=1333件) 紙媒体 (1384件) 紙媒体 (876件) USB等可搬 記録媒体 (610件) USB等可搬 記録媒体 (109件) 電子メール (130件) 電子メール (121件) インターネット (118件) インターネット (123件) 順位に変化なし 紙媒体による漏えいが多い。 (例年通り) USBが減少 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 16 / 27 3.4 一件当たりの漏えい人数 10 万~ 100 万人未満 7件 0.5% 不明 1 万~ 10 万人未満 72 件 38 件 5.4% 2.9% 1000 ~ 1 万人未満 105 件 7.9% 1 ~ 10 人未満 552 件 41.4% 100 ~ 1000 人未満 333 件 25.0% 10 ~ 100 人未満 224 件 16.8% 100人/件未満の 小さなインシデントの件数が 約60%を占める。 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 17 / 27 3.4 一件当たりの漏えい人数(経年) 800件 1~10人未満 763件 10~100人未満 700件 1~10人未満が→ 多い傾向 548件 600件 500件 0件 1000~1万人未満 572件 553件 308件 281件 147件 140件 98件 290件 287件 178件 137件 314件 269件 226件 1万~10万人未満 10万~100万人未満 422件 200件 100件 100~1000人未満 643件 479件 400件 300件 644件 314件 100万人以上 407件 332件 300件 不明 357件 320件 344 343件 333件 261件 224件 186件 10~100人未満 1000~1万人未満 136件 122 119件 件 119件 111件 105件 97件 81 件 72件 1万~10万人未満 51件 70件 68件 67件 44件 50件 44 43 42 件 件 38 38件 件 37件 件 13件 29件 11件 19件 15件 19 件 10 7 7件 件 1件 4件 4件 3 2件 2 1件 1件 0件 0件 2012年が 件 2005年 2006年 2007年 2008年 2009年 2010年 2011年 2012年 2013年 特異的 (n=1032) (n=993) (n=864) (n=1373) (n=1539) (n=1679) (n=1551) (n=2357) (n=2357) Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 18 / 27 3.5 一件当たりの想定損害賠償額 10 ~100 億円未満 15件 1.1% 不明 72件 5.4% 1万円未満 180 件 13.5% 1~10 億円未満 47 件 3.5% 1000 ~1億円未満 233 件 17.5% 100 ~ 1000 万円未満 166 件 12.5% 1~10 万円未満 383 件 28.7% 10 ~100 万 円未満 231 件 17.3% 想定損害賠償額が 100~1000万円未満の インシデントの件数が増加 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 19 / 27 3.6 漏えい人数と損害賠償総額(経年) 3053 万1004 人 3000 万人 合計/損害賠償総額(万円) 漏えい人数 2兆円 2500 万人 2223 万 6576 人 1兆5000億円 2000 万人 2兆 2710 億 8943 万円 1兆円 1500 万人 972 万 0065 人 931 万 2542 人 881 万 4735 人 557 万9316 人 723 万 2763 人 628 万 4363 人 572 万 1498 人 5000億円 5328 億 7978.3 万円 1000 万人 500 万人 3890 億 4288.9 万円 1899 億 7378.6 万円 2020 億 6575.0 万円 2366 億 9729.1 万円 1214 億 9067.0 万円 2132 億 6404.8 万円 0人 2007 年 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 (n=864) (n=1373) (n=1539) (n=1579) (n=1551) (n=2357) (n=1334) 4570 億 0086.3 万円 0円 2005 年 (n=1032) 2006 年 (n=993) 漏えい人数、想定損害賠償総額ともに 変化が少ない Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 20 / 27 4. 2013年調査結果のまとめ 個人情報漏えいインシデント件数(報告件数)が大幅に減少 →2012年の件数増から例年レベルへ戻る • 2012年は、地方銀行からの報告が増加。監督官庁の指示などが影響 インシデント・トップ10を「情報通信業・不正アクセス」が占める • リスト型アカウントハッキングによる大規模な情報漏えいが大量に発生 インターネット上のサービスに保有されている 個人情報が狙われた インターネットサービスと個人端末の両方から 情報漏えいのリスクが増大中! Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 21 / 27 5. 新たな個人情報の漏えいリスク 組織内に集約/蓄積された個人情報データベースからの過失による漏えいだけで なく、クラウド上の個人情報、個人のIT環境上の個人情報を詐取されるリスクが 増加中 企業 個人IT環境 個人情報 個人情報 保存 個人情報 過失 管理ミス 誤操作 紛失・置き忘れ クラウド サービス 不正アクセス ワーム・ウイルス リスト型 アカウントハッキング 外部からの 不正侵入 ウイルス 不正アプリ ウイルス 不正アプリ スマホ タブレット パソコン 不正な スマホアプリ 不正アクセス ワーム・ウイルス その他 標的型攻撃メール (spamメール化) Web待ち伏せ攻撃 (水飲み場型攻撃/DBD攻撃) Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 フィッシング Page 22 / 27 5.1 リスト型アカウントハッキング 同じID、パスワードを使い回しているアカウントを狙った不正ログイン攻撃 無料 オンライン サービス ID: PW: [email protected] Hogeh0ge! アカウント 乗っ取り オンライン ショッピング サイト アカウント 乗っ取り オンライン ゲーム ID: [email protected] PW: Hogeh0ge! ID=メールアドレスを指定! アカウント 乗っ取り ID: abc PW: Hogeh0ge! パスワードの使い回し! SNS ID: PW: abc Hogeh0ge! アカウント 乗っ取り クラウド サービス ID: PW: [email protected] Hogeh0ge! 漏 洩 不正ログイン 攻撃者 ID: [email protected] ID: [email protected] ID: [email protected] PW: Hogeh0ge! PW: Hogeh0ge! PW: Hogeh0ge! Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 23 / 27 5.2 オンラインバンキング情報の漏えいリスク (自宅の個人IT環境) オンラインバンキング系 マルウェア 個人IT環境 個人情報 ウイルス, ⇒ 金銭に関わる個人情報 スパイウェア 例:Zeus, Citadel VAWTRAK ウイルス 例:スマホ版Zeus 悪意のあるアプリ 「マッドウェア」 例:○ the Movie 不正な スマホアプリ ウイルス 不正アプリ スマホ タブレット ウイルス 不正アプリ 悪意のあるアプリ 「アドウェア」「スパ イウェア」 パソコン 不正アクセス ワーム・ウイルス 個人のセキュリティ 意識の向上が課題 標的型攻撃(メール) のコモディティ化 フィッシング Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 水飲み場型攻撃 (Drive by Download)の コモディティ化 ⇒“Web待ち伏せ攻撃” Page 24 / 27 5.3 オンラインバンキング情報の漏えいリスク (企業のIT環境) 会社貸与 BYOD 企業内の個人IT環境 (財務担当者) スマホ タブレット 不正アクセス ワーム・ウイルス 企業の口座情報 不正な振込 テザリング オンラインバンキング系 マルウェア 個人情報 財務情報 ウイルス 不正アプリ パソコン 標的型攻撃メール (spamメール化) Web待ち伏せ攻撃 (水飲み場型攻撃/DBD攻撃) ウイルス, スパイウェア 例:Zeus, Citadel VAWTRAK 悪意のあるアプリ 「アドウェア」「スパ イウェア」 不正アクセス ワーム・ウイルス 企業の口座情報 不正な振込 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 25 / 27 6. 成果物の公開 本日のプレゼン資料 情報セキュリティインシデントに関する調査報告書 近日中に公開予定 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 26 / 27 6. セキュリティ被害調査の方向 企業・組織の機密情報/個人情報漏えいリスクの調査 ⇒ 情報セキュリティ大学院大学と連携して実施 情報セキュリティ被害がある限り、 リスク定量化や投資対効果(ROSI)の 確立に向けて活動します。 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会 Page 27 / 27 Copyright (c) 2000-2014 NPO日本ネットワークセキュリティ協会
© Copyright 2024 ExpyDoc
