<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">

2019年のデータセキュリティの状況

Greg Mooney| January 31 2019

| security, GDPR, データ保護

podcast-state-of-data-security-in-2019

データセキュリティに関して、今後どのように推移していくのかを予測するのは簡単ではありません。過去数年間に発生した大規模なデータ侵害を受けて、あらゆる業界の企業が自社が扱うすべてのデータのセキュリティについて見直しを迫られているようには見えます。

GDPRはすでに施行されていますが、そう遠くないうちに合衆国など、他の地域でもGDPRと類似したレベルの規制が実施されるようになるかもしれません。連邦政府はかつてはデータセキュリティにあまり介入するつもりはないのではないかと思われていましたが、Equifax やフェイスブックなどのデータ侵害事件が引き起こした混乱を考えると、何らかの規制を検討し始めても不思議ではありません。大企業の中には、データセキュリティの管理方法の精査を強化しているところもあります。

このポッドキャストが録音された時点では、GDPRコンプライアンス違反に対する罰金は確認できていませんでしたが、グーグルが1月21日、フランスの監督当局から5000万ユーロの罰金を科されたとの報道がありました。グーグルはすぐに行動を起こし、推測された通りに上訴する予定です。グーグルは、データ処理においてトランスペアレントでわかりやすい方法をとったと主張しています。いずれにせよ、この一連の動きは、GDPRがどれほど効果的であるかについての初めての本格的なテストになるでしょう。

最終的にどう決着するのか予断を許しませんが、制裁金に関してはほかにも候補があります。以前のブログで、グーグルが最初にGDPR違反を問われる大企業に含まれるだろうと指摘しましたが、フェイスブックに対する制裁金が出されるのも時間の問題ではないかと思います。

米国に関しては、連邦レベルではGDPRのような法律は成立しないかもしれませんが、州レベルでは独自のデータプライバシー規則が実施されるでしょう。昨年、カリフォルニアが先陣を切りましたが、それに続く州が出てくるでしょう。まだ不透明な部分も多いですが、州レベルのデータ保護法は、米国における意味のあるデータプライバシー政策に向けた最初のステップであり、今後の動向に十分目を配る必要があります。

GDPR への準備はできていますか?今からでも検討してください。GDPRへの対処を検討する際の必読書をご参考ください。

 [トランスクリプト (一部省略)]

Greg:  Greg Mooneyです。この "Defrag This" で、イプスイッチの同僚、Mark Towler Kevin Conklin を招いて、2019年のデータセキュリティの状況について話し合う機会を設けました(注:録音は1月中旬)。過去数年間に発生した大規模なデータ侵害を受けて、あらゆる企業がデータセキュリティについて考えざるを得なくなっているように思われます。GDPRはすでに施行されていますが、そう遠くないうちに合衆国など、他の地域でもGDPRと類似したレベルの規制が実施されるようになるかもしれません。EquifaxFacebookのデータ侵害から生じた混乱を考えると、何らかの対策が必要なのは明らかです。大企業の中には、データセキュリティの管理方法の精査を強化しているところもあります。

現在のところ、GDPR 違反の制裁金はまだ科されたところはないようです。1998年のデータ保護法の違反に対しての罰金はまだ実施されており、イギリスのICO (個人情報保護監督機関:Information Commissioner Office) は、Facebook に罰金を科しています。そこで、質問です。GDPRは、2019年に違反に対して制裁を行うでしょうか、そして最初の訴訟が起こされたら世界の企業はどのように対応するでしょうか?まず、Kevin、意見をお願いします。

Kevin: GDPR違反に対する制裁金は、2019年に科せられると思います。古いセキュリティ法に対する古いデータ侵害のバックログもあるようですが。多少の猶予期間はあるでしょうが、最初の罰金はEUと英国の会社に科されるでしょう。その後、やがてアメリカの大企業もGDPR違反を問われ始めると思います。

Greg: 面白いポイントですね。アメリカの会社も狙われますか?

Kevin: 今もう起こっていると思いますよ。覚えているでしょうか、Facebook CEO が連邦議会とEUの前で話すよう求められました。EU区域外であっても、進行しているわけです。それから、フランスかイタリアと大手企業、Google だったと思いますが、の間でも、プライバシーに関する訴訟があったはずです。表沙汰にならないうちに和解に至ったものもあるのではないでしょうか。制裁には6カ月から9カ月程度は要するでしょう。覚えておいてもらいたいのは、GDPRは今のところガイドラインだということです。訴訟が起きるまでは法律として機能していません。訴訟があって法律として位置づけられ、先例になります。GDPRの用語の意味についてはまだ評価し直すべき点もあると思います。条項の中には、実際には実装が困難なほど曖昧なものがあります。

Mark:  Kevin、本当にその通りだと思います。いろいろな動きがあるでしょう。おそらく、「いいですか、たくさん警告したはずです。もう施行されているので、ちょっとお仕置きをします。本来なら言い逃れの余地はありませんが、いきなり粉砕させてしまうような仕打ちをすることは最善策とは思われないので、まずはこれぐらいで。」みたいなことではないでしょうか。それを踏まえた上で、EU区域外の大企業がGDPRの制裁を受けるだろうという推測には同意します。合衆国にはデータセキュリティに関してきちんと対処していない会社がたくさんあります。

Greg: この前ブログで書きました。GDPR違反に問われるべき大企業としてFacebook Google を挙げました。

Mark: まさしく。これらの会社は、かなりたたかれるでしょう。EUの機関は、自分サイドでない組織、欧州議会に直接陳情できないような組織に対して先例を作っておきたいからです。そして正直なところ、Facebook にはあまり多くの「友だち」はいません。しかし莫大な資金があります。これを先例にするということで訴訟になれば、Facebook は最強の弁護士団を雇うことができ、うんざりするほどの長期戦になるでしょう。最初の質問に戻ると、GDPR問題は大きな注目を受けるでしょう。莫大ではない制裁金は科されるでしょうが、訴訟問題は2019年のうちに解決することはないでしょう。法廷の争いになるとあまりにも時間がかかります。大きな制裁があるかもしれませんが、罰金が絡む場合は特に、解決までには何年もかかるでしょう。

Greg: そうですね。いいポイントです。ここで、少しGDPRから話題を変えましょうか。ちょっと食傷気味になっていますから。特にブログでは毎週のようにGDPRについて話しています。

Mark: 大問題ですからね。

Greg: ここで考えたいのは、このような規制が制定されるようになって、果たして1年前と比べて良くなっているのか、という点です。どんな個人データもどこかのダークウェブ・データベースに格納されているような現実があって、法制定をしても無駄なのではないかという懸念があります。

Kevin: 私が最初にコメントしましょう。非常に多くのデータ侵害が起こっている点は注目に値します。言えることは、クレジットカードを持っているなら、その人のデータは公開されていると考えた方がいいということです。地球上に存在する以上のデータが侵害されていると言っても過言でないほどです。クレジットカードを持たない人も一定数いるのですが、持っていれば、情報はどこかにさらされています。したがって、もう免疫ができているような感じになっています。ただ、セキュリティの点でより重要であり、今後数年のうちにある程度合意が形成されるのではないかと思うのは、データを誰が所有しているかという概念だと思います。GDPRに戻ると、GDPRFacebookがユーザーのデータを所有していないという前提に立っていますが、実際はFacebookはユーザーのデータを所有しています。法廷で争われて判決が下り、罰金の支払いが発生するより前に、人々は、ユーザーのデータをきちんと管理できない組織にはデータを提供しなくなるのではないでしょうか。

Mark: Kevin、最初に話してくれてよかったです。私ならもっと冷笑的に答えたでしょうから。Greg、かなり前に、1984年について話し合ったことがありましたね。

Greg: ずっと前ですね、かなり初期の。

Mark:...つまり、ビッグ・ブラザーがすべてを監視している1984年のディストピアの未来を考えていました。最後のクリスマスを想起します。Google のホームアシスタント、Amazon Echo は大量に販売されました。誰もが自分の家にバグ、ビッグ・ブラザーのデバイス、を喜んで置いているようなものです。便利で私自身も持っていますが、同時に冷笑的にならざるを得ないおぞましさを含んでいます。Kevin の言うとおり、誰かがクレジットカード番号その他のすべての情報を本当に欲するなら、彼らはそれを手に入れます。

そして、私には何も対抗する手段がなく、誰にも罰は下りません。Equifax Target のデータ侵害は大騒ぎを引き起こしましたが、誰も投獄されたり、罰金を支払ったり、補償されたりすることはありませんでした。こういった状況で、日々、一般の善良な人間はどうすればいいのでしょうか?企業にとっても同じことです。フィッシング攻撃で、ランサムウェアを使用し、誰かが会社のデータをロックするという事態を見てきました。ビットコインで100万ドル払えば解除すると言われて、最高経営責任者(CEO)は、「戦わなければならないけれど、3日間のシステム閉鎖は死活問題だから、100万ドルを支払うしかない。」と結論を出します。繰り返しになりますが、罰せられることはありません。これが新しい常識なのでしょうか?私たちは皆それに慣れていますか?答えはわかりませんが、この傾向はどこでも同じように思えます。

Greg: そうですね。Jeff Edwards がここにいたら、話してくれるでしょうが、彼は Amazon で働いていて、そのようなデバイスに録音された会話を聞いたことがありました。セキュリティ部門のトップレベルの管理職というわけではなく大学を卒業したばかりの社員の仕事で、そういった機会があったのです。それで、たとえ Amazon Google が、「我々はユーザーのデータを保護するために最善を尽くそうと努力しています。」と主張しても、疑念は起こらざるを得ません。デバイスに録音された会話を聞いた一介の社員がその情報を持ち出さない保証はあるのでしょうか?

Mark: 完全に駄目ですね。

Greg: そこに警備員は配置されていませんでした。

Mark: とにかく誰かが信頼できると考えるべきではありません。利益を上げることができるのであれば、できる限り利用して利益を上げるというのが企業の要求です。もう一つ、データについてあまり気にかけていないという問題があります。クレジットカード番号は、もう少し慎重にするでしょう。私はエコーを持っていますが、私のクレジットカード番号の管理については、Amazon が顧客からお金を獲得する方法なので、しっかりと安全に保管してくれると確信しています。ですが、私がエコーに話したすべてを記録し、食料品リストにその他のあらゆることを追跡しているかどうかは、気にしていられません。私が今年 Echo Show を入手したのは、スカイプの操作にてこずる80代の両親とコミュニケーションできるようにするためでした。両親は、今、ただ "Alexacall Mark." と言うだけで、簡単に孫娘の顔を見ることができ、素晴らしいです。ですが、すべてを聞かれている可能性があります。だからと言ってどうすればいいのでしょうか?

Greg: それはさっきの質問(1年前と比べて良くなっているのか)につながります。

Kevin: 良くなっているようには思えません。

Greg: 良くなってはいないですね。

Mark: 質問への答えは、いいえです。

Greg: まったく。全員、同意ですね。では、普通の人たちはこの点を深刻に受け止めているかという疑問が浮かびます。最初に考えたのは技術的なことに詳しくない私の父のような人の場合です。クリスマスに父の家に行って、父の使っているコンピュータに、多分1,400ぐらいのマルウェアが見つかったと記憶しています。父は技術者でも何でもない普通の人間ですが、コンピュータを使用していて、大会社で働いています。たまたまどれかのマルウェアを会社に持ち込んでしまい、ネットワーク上に広がったら...

Mark: もっとひどいですよ。それは技術者でない高齢者の話ですが、5-6年前にこんなことがありました。誰かがたくさんのUSBキーを手に入れ、それに中央サーバーにpingするだけの小さなプログラムをインストールし、政府施設外の様々な場所に置いておきました。90%ぐらいが拾われて、政府のコンピュータにプラグインしました。これはテストだったのですが、誰かが実際に本物のマルウェアをインストールしたら、いったいどういうことになっていたでしょうか。一方、Lincoln Labsで働いている友人は、自分の携帯電話を仕事場に持ち込むことを禁じられています。もしUSBキーを持ち込んで何かしようとしたなら、撃たれてしまうこともあるのでは、と思います。つまり、企業はリスクについて認識しています。

Greg: その話は覚えています。厳格な最高セキュリティの場所ですね。

Mark: そうです、政府の研究をしているので外部から遮断されています。

Greg: その企業はセキュリティを真摯にとらえており、賢明です。それに倣ってセキュリティを真剣に受け止めるべきだという点には同意できても、実行が伴わないですね。

Kevin: 人間的側面について言えば、普通の人たちはあまり気にしていないように思います。データプライバシーを本当に重要視する人たちは、おそらく Alexa は使わず、コンピュータ使用にももっと注意を払うでしょう。コンピュータ、携帯電話、iPad、数限りない IoT デバイス、すべてデータ侵害されます。1つ興味深いのは、ヨーロッパにいる多くの友人と Facebook で連絡が取れなくなったことです。彼らはもう Facebook をやっていません。アメリカにも Facebook をやめた知人が大勢います。理由はいろいろです。広告がわずらわしい、しばらくしたら飽きてしまった、など。そして、Facebook の大きなスキャンダル...

Greg: Cambridge Analytics ですね。

Kevin: そう、Cambridge Analytics。これが決定的でした。「あの事件、聞いた?もうやめるよ。」ということです。

Greg: 同じように感じます。Facebook みたいなものは、もう陳腐化していますしね。

Kevin: 似たようなものばかりで。ニュースみたいな。

Greg: そうですね、ニュース的なものとしては、Twitter を使いますけど。

Mark: 現実性も欠如しています。Facebook にはいいところだけを載せます。「母の日に、子供たちが朝食を用意してくれ、ベッドに運んでくれました。」まさに、「いいね」です。素敵な家族に恵まれ、「幸せな私」を演出します。子供たちが喧嘩してわめいたり、料理を焦がしてボヤ騒ぎが起きたり、後片付けに疲れ果てたり、といった部分は伏せておきます。みんなわかっていることですが、素晴らしい一面だけを切り取ってシェアします。25歳を過ぎた大人はみんなうんざりしています。

Kevin: さっきの質問の背後にあるのは、最近興味を持っているのですが、データセキュリティ問題について、PCなどの場合は除外して、情報を自発的に提供する人々は、所有され自由に使われたとしても、もう関心がないということなのではないかという点です。

Greg: その通り。

Kevin: 我々はもうすべてのデータを提供しています。それが Spotify なら、そこに送信したすべてのメッセージを含め、行ったすべての情報が確認できます。

Greg: ええ。多くの人は、Facebook をメッセンジャーがあるから使っているのではないでしょうか。電話番号がわからなくても簡単に連絡を取ることができますから。私の母はもう電話はチェックしないので、母に連絡したいときは Facebook でメッセージを送ります。

Mark: データがどう使われるのかという問題もありますが、データの提供は避けられないもののように思います。データプライバシーに極端に敏感になって Facebook もやめ、Twitter もやめ、複数の暗号化を使用することもできます。Lincoln Labsの私の友人もそうしていますが、同時に、彼と連絡するのは非常に困難です。彼もオンラインで何かに参加するのに本当に苦労しています。結局のところ、次のような結論を出すことが多いのではないでしょうか。「じゃあ、最悪のことがどう起こり得るのか考えてみよう。誰かにクレジットカード番号が盗まれても、自分は責任を負う必要はなく、クレジットカード会社が代金を払ってくれる。誰かが自分の情報の一部を盗んだとして、何が問題なのか。そいつは自分の職場がどこか知っているかもしれないけれど、それだけじゃないか。」つまり、リスクや知覚される影響が認められないのであれば、問題ではありません。企業には当てはまりませんが、個人の場合に限定して。情報があちこちに飛び交っている世界に住んでいて、調査されている80億人のうちの一人であることに不安を抱くか、実際に自分の生活に何らかの影響が出ない限り気にしないかのどちらかになるでしょう。警告は何年物あいだ叫ばれていますが、何も起こりませんでした。だからこれまで通りに過ごします。

技術に精通している人々も、非常に多くの異なるサイトで使う膨大な数のパスワードを管理するのにデータ管理ソフトウェアを使います。もし、それが盗まれたら、どうしようもありません。それでも、人間は万能ではないので何かに頼らずに全部を記憶しておくことは無理です。白旗を立てて、「あきらめた。オッケー。どこに買い物に行くか知りたいなら、どうぞ。何を買っていくら支払ったか知りたいなら、どうぞ。」とつぶやくことになるでしょう。

Greg: 思い出しました。先日、Krebs on Security を読んでいたのですが、信用報告書のような企業のセキュリティに関する概要を、セキュリティの管理状態に基づいて測定する手法が述べられていました。データ保護をしっかり行っている会社のサイトには人が安心して訪れるといったようなことです。これ自体は一種の信用になりますが、個人にも適用できるでしょうか。クレジットカードが盗まれた回数、IDが何度盗まれたかなどが信用に影響を与えるとすれば、もう少しデータセキュリティを真剣に考えるでしょうか?

Mark: それで誰かが損害を被らない限り、誰にも影響しないし、誰も行動をけることはないでしょう。財政的にも社会的にも。

Kevin:  クレジット・スコアに悪影響があります。

Mark: 確かに。ですが、実際にクレジットカードが盗まれ、それがクレジット・スコアに影響を与えている人は何人いるのでしょうか。いろいろ話には聞きますが、何人の人々が信用を失い、取り戻すのにどれぐらい苦労するのでしょうか。ことはどれくらい難しいですか?何年も前ならいざ知らず、今クレジットカードが盗まれたら、すぐに銀行が知らせてきます。経験がありますが、銀行は即座にクレジットカードをブロックするので、カードが使えなくなって盗まれたことがわかるという具合です。

Greg: でも個人的なレベルではなく、会社だったらどうですか?たとえば、Amazon がユーザーのクレジットカードをすべて失った場合、Amazon に非があれば、信用は大きく傷つくはずです。

Kevin: 会社に対して、個人のデータをどれぐらい安全に取り扱っているかを開示するよう求めることは意味があります。しかし、逆に、Equifax がユーザーを評価する側面もあります。データを損失したことがない優秀な個人に商品を売るように選択しますが、その顧客データを銀行側が損失してしまいます。

Mark: その通りですね。過去2年間に6回のクレジット侵害があったとしても、どれも個人のせいではありません。Amazon がデータ侵害に遭いました、Target がデータ侵害に遭いました、云々という具合に。

Greg: そうですね、でも会社の信用には影響を与えると思います。個人の信用は傷つかないでしょうが。でもある人がフィッシングされ続けているのであれば、おそらく、個人の信用に対する警告フラグが出るはずです。

Kevin: ダミースコア。

Greg: ダミースコア、本質的に。

Kevin: サイバーダミースコア。

Mark: 他の様々な要因による可能性もありますが、データが何度も盗まれてクレジット・スコアがひどいのでローンを却下される状況は考えられます。訴訟になっても無理だと言われるかもしれません。会社の場合はどうでしょう。「信用度がひどく悪い会社のリストです。Target  が顧客のデータを失い続け、Equifax が顧客のデータを失い続け、Amazon Facebook もユーザーのデータを失い続けています。」確かに評判は悪くなるでしょうが、だからといって何ができますか?

Greg: 評価がAAAからAAになります。

Mark: それだけですね。私はエコーを持っています。安いので Amazon からの注文も続けます。エコシステム全体の一部なので、Whole Foods で買い物をします。信用度が悪い会社を利用しないということは、買い物をするな、エンターテイメントを利用するな、と言うに等しいです。地球にやさしく、データセキュリティの万全な会社のものだけを購入することにして、日常生活を送ることはできません。

Greg: 時間もそろそろ迫っているので、重大な質問をさせてください。Kevin、あなたから始めましょう。データセキュリティの状況に関して、2019年の大胆な予測はありますか?

Kevin: いいえ。前にも話したように、

Greg: ほとんど同じ?

Kevin: ええ。一番大きいのは、GDPRが何らかの結果を出すであろうということです。一年以内に本当の動きが見え始めるでしょう。

Greg:効果的になると思いますか、それとも

Kevin: GDPR?そう思います。データを所有している会社にとって本当に重要なことだと思います。法律の問題としては、まだ時間が必要だと思います。5年かかるかもしれませんが、EU(英国が何らかの関係を継続する場合は英国も)が企業とどう関わっていくかの形が次第に整っていくでしょう。Mark が面白いエピソードを交えて話した点について、アメリカで何が起きるのかについても少しだけ触れたいと思います。ゲノムについてそうだったように、もし市場化したい要求があれば、何らかの方法を見つけて成し遂げられます。

.....

Mark: 別の議論になりますが、事実とは誰かが信じたいと思うものであり、しかも事実が重要ではない世界があります。そんな世界には行きたくありませんが。Kevin が言ったことの繰り返しになりますが、2019年に重大な変化があるとは思えません。GDPRに絡んだビジネスの世界では変化が見られるでしょうが、個人レベルでは何も良くなりそうにありません。

Kevin: 州レベルのデータセキュリティへの取り組みは前進するでしょう。

Greg: ええ。私がカリフォルニアにいたとき...

Mark: 個々の州では取り組みは始まっていますね、確かに。

Kevin: そして、ニューヨークも準備している思います。マサチューセッツも準備しているはずです。政治に深入りはしませんが、政治的な面で興味深いのは、人々がどのような行動も州から起こるということに気付き始めているという点です。連邦政府は何もできません。

Greg: いいポイントですね。

Mark: そして各州の動きが国の他の地域を巻き込んでいきます。カリフォルニアの誰かと取引をしたいなら、カリフォルニアの法律を遵守しなければなりません。個人レベルで見るとカリフォルニア州全体は世界で5番目か6番目に大きい経済地域になります。自動車排気ガス規制の場合と同じことです。ビジネスには大きな影響を与えると思います。個人についてはよくわからないですが。

Kevin: 逆に言えば、企業はアメリカでのビジネスのために2種類の異なる実施方法を使い分けるのが非効率的だからです。GDPRに対しても会社として対処を使い分けることはできません。普遍性が求められます。

Mark: それに尽きますね。

Kevin: カリフォルニア州の法律が施行されたら、カリフォルニアでビジネスをしているアメリカの企業は、カリフォルニアだけでなくニューヨーク州の人にも、ロードアイランド州の人にも等しく適用される統一された規則のセットを持つべきであり、それが企業にとっても有益です。

Greg: その時点から野火のように広がり始めます。

Mark: ただ、やはり企業の話ですね。企業はペナルティもはるかに高いので、リスク回避のためにあれこれ尽力するでしょう。個人については、これが草の根の問題にならない限り、個人が損害を被るまでは、対処しようということにはならないでしょう。もう一度強調しますが、多くの個人が被害にあって痛い目を見ない限り、個人レベルでは気にしないでしょう。アイデンティティが盗まれ、クレジットカード情報が漏洩した人が人口の10%になっても、非常に綿密に組織化されない限り、現在の習慣を改めようとはしないでしょう。企業は、非常にリスク回避的であり、それは完全に理にかなっています。しかし、一般の人々については、ビジネスの世界で制約を自発的に受け入れるような流れではなく、何らかのやり方で制約が押し付けられる形になるような気がします。

Greg: 今、26分を過ぎたので、ここで終わりにしたいと思います。参加してくれたMark Towlerに感謝します。

Mark: こちらこそ。

Greg: そして、Kevin Conklin、あなたにも。

Greg: ありがとう、GregNew Call-to-action

Topics: security, GDPR, データ保護

Default HTML block

コメントをどうぞ

メールアドレスは公開されません。アスタリスクマーク*のついたフィールドは必須項目です。

THIS POST WAS WRITTEN BY Greg Mooney

Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.

無料試用版

無料試用版をお気軽にお試しください。

無料試用版を試す

コンタクト

ご質問、ご意見をお寄せください。

連絡先

ブログの定期メール便

ブログを定期的にメール配信いたします。