2018年だけで、アメリカ合衆国内において1,244件のデータ侵害がありましたが、それは報告された事例に限った話です。そのため、調査回答者のわずか12%が、連邦政府がオンライン上で彼らのデータを保護する能力に自信を持っていると報告しているのは不思議ではありません。
今日のますますデジタル化された世界では、オンライン上であなたの機密データを保護するための措置を講じることが重要です。この簡単なガイドでは、その方法をご紹介します。
サイバーセキュリティの脅威は、現代生活の一部となりつつあります。スマートフォン、ソーシャルメディア、デートアプリ、オンラインバンキングの台頭により、これまで以上に私たちの生活はインターネットに接続されたデバイスと絡み合っています。
電子デバイスとのつながりが深まるにつれて、サイバーセキュリティの脅威や第三者によるデータの悪用が増え、金銭的な利益を得られる機会も増えています。データプライバシーの概念は、情報(「データ」)を扱う際に、その秘匿性の価値に関連しています。
すべてのデータが同じように作られているわけではありません。例えば、名前を見知らぬ人と共有することには抵抗がないかもしれません。しかし、自宅の住所や勤務先を共有することには、ためらいがあるでしょう。だからこそ、私たちの機密性の高い個人データを守るための基準とルーチンを作ることが重要です。
一般的に、データプライバシーとは、個人または職業生活に関連する重要な情報を指します。しばしば、これらのデータは実生活であなたが誰であるかを明らかにする能力から「個人を特定できる情報」(PII)と呼ばれます。PIIに関連するデータの一般的な例には、以下のものが含まれます:
企業の場合、データプライバシーは、会社の日常業務に関連する機密情報の保護と同様に重要です。例えば、民間企業は、研究開発(R&D)、営業秘密、貸借対照表、損益計算書、または最悪の場合は顧客のデータなど、関連するあらゆるデータを保護したいと考えています。
悪意のある行為者の手に渡った場合、機密データは金銭や知的財産を脅迫するために悪用される可能性があります。また、写真や銀行情報などの個人データが、サイバー犯罪者やハッカーによって脅迫の手段として使用される事例も多くあります。
データ盗難は個人やビジネスに甚大な被害をもたらす可能性がありますが、病院や医療サービス提供者の場合はさらに悪化します。2019年には、病院がブラックハットハッカーによるランサムウェア攻撃の主要な標的となり、17の病院や診療所が影響を受けました。ユーザーデータは医療機関にとって非常に価値があるため、ランサムウェアの被害者はしばしば何百万ドルもの金額を支払って、奪われたデータを取り戻します。
新しい情報技術の出現により、私たちはこれまで以上に時間とエネルギーを節約する便利さを手に入れました。同様に、私たちはデバイスやネットワークがハッカーによって侵害されることで、身元盗用やサイバーセキュリティ攻撃の脆弱性にも多く直面しています。
そのため、最近のプライスウォーターハウスクーパースの報告書では、69%の消費者が企業がサイバー攻撃やハッカーに弱いと考えていることがわかりました。今まで以上に、企業とその顧客は情報の安全性とデータプライバシー権が尊重されているかについて懸念しています。
同じ報告書で、わずかな少数派の回答者(10%)が、自分の個人データを完全にコントロールできていると主張しています。これから、消費者は政府当局や規制当局にデータの使用方法に関する制限を強化することを期待していると推測できます。
しかし、実際はその逆で、72%の回答者が、政府よりも企業や民間部門の方が自分たちのデータを保護するのに適していると主張しています。
解決策は、民間部門の企業が顧客とユーザーのデータを保護するために、さらなる努力をする必要があります。消費者が企業にデータの完全性を保つことを信頼しているので、企業は顧客の好みを尊重することが重要であり、そうでなければ消費者は市場でデータがより安全な他の選択肢に移行するでしょう。
民間部門では最近、政府に依存しない、より包括的なデータプライバシーを求める消費者の要求に応えるための取り組みが試みられています。オープンウェブアプリケーションセキュリティプロジェクト(OWASP)は、データプライバシー規制をさらに推進しようとするサイバーセキュリティおよびソフトウェア専門家のための契約を開発した非営利団体です。
OWASPは、機密データを扱う人々が、潜在的な盗難や悪用から個人情報を守るための措置やプロトコルを採用することを奨励しています。これは、安全なデータ転送を扱うセキュリティ専門家にとってなおさらです。なぜなら、データパケットは、転送IPアドレスが動作するネットワーク内の任意のノードで盗まれたり改ざんされたりする可能性があるからです。
しかし、残念ながら、オンライン上での真のプライバシーはほとんど存在しません。インターネットを介して送信されるデータは、政府当局やブラックハットハッカーによる盗難や調査の対象となります。しかし、ビジネスや個人が自分のデータをできるだけ安全に保つために取ることができる予防策はあります。
プライバシーを重視する個人は、監視の目から情報を守るための措置を講じることができます。幸いなことに、データを何層にもVPNを通して暗号化したり、コンピュータが受信するすべてのデータを瞬時に暗号化できるスーパーコンピュータを購入する必要はありません。代わりに、ハッカーの手からあなたの個人識別情報(PII)を守るために採用できる簡単な技術があります。それには以下のようなものが含まれます:
結局のところ、個人情報の良い管理者であることはあなたの責任です。データプライバシーを守りたいのであれば、上記の基本的なヒントに従って、データおよびアイデンティティ盗難に対する基本的な保護を自分自身に提供してください。
ランサムウェアは、攻撃者が被害者の個人情報を公開するか、身代金を支払うまで無期限にアクセスを制限すると脅迫する比較的新しいマルウェアの形態です。ほとんどの場合、ランサムウェアのハッカーは「クリプトウイルス的恐喝」と総称される手法を使用して、ハッカーがそれを復号化することなく被害者が自分のデータを取り戻すことが不可能になるようにします。
2010年代には、ランサムウェア攻撃の発生率が急激に増加しました。2018年1月だけでも、世界中で報告されたランサムウェア攻撃は1億8150万件を超えています。特筆すべきは、CryptoLockerランサムウェア攻撃で、2013年から2014年後半にかけて、プリペイドキャッシュバウチャーやビットコインを介して被害者から1800万ドル以上を恐喝したことです。
インターポール、連邦捜査局(FBI)、英国国家犯罪局、米国司法省を含む世界中の法執行機関は、ランサムウェア攻撃者の捜査と摘発に積極的に協力しています。例えば、「オペレーション・トバール」というコードネームの共同法執行作戦は、2014年5月に根本ファイルを隔離することでCryptoLockerランサムウェアウイルスを成功裏に終了させました。
ほぼすべてのケースで、ランサムウェアの攻撃者は、ビットコイン、イーサ、ライトコインなどの人気のある暗号通貨での支払いを要求します。暗号通貨は、銀行や支払いプロセッサーなどの第三者の仲介者を使用せずに匿名の取引を可能にするため、ランサムウェアのハッカーの間で支払い方法の選択肢として好まれています。
あなたの機密データをバックアップすることは、データのプライバシーを脅かすハッカーや泥棒からの最強の防御策かもしれません。データをバックアップするとき、あなたは悪意のある第三者によって個人情報が侵害された場合の代替アクセスルートを提供することで、あなたのデータのための一種の保険を作成します。
さらに、リモート、クラウド、またはオンプレミスのセキュアファイル共有システムにデータをバックアップすることは、自然災害、ハードウェアまたはソフトウェアの故障、または単なる人為的なエラーのリスクに対する防御策です。残念ながら、注意していないと誰でも機密データを失う可能性があり、緊急時に救いとなるデータの第二または第三のコピーを作成することが重要です。
2018年の調査によると、全データ損失の67%がハードウェアと技術的な故障によるものであり、これは別のハードドライブやクラウドストレージソリューションにデータをバックアップすることで防ぐことができます。あなたが何の間違いも人為的なエラーも犯さなくても、あなたのデータプライバシーは侵害される可能性があるという事実は変わりませんので、データバックアップオプションに投資することで自分自身を守ることを心がけるべきです。
ランサムウェア攻撃者から身代金を要求される力を奪うためには、データのセカンドコピーを持つことが重要です。バックアップデータストレージデバイスに攻撃者が侵入できない限り、情報は既に容易に利用可能なため、攻撃者に身代金を支払う必要はありません。
さらに、ランサムウェアハッカーからデータを保護するためには、バックアップされたデータがエンドツーエンドの暗号化の対象となっていることを確認する必要があります。データが暗号化されている場合、サイバー犯罪者は高度な暗号技術を使用して情報を復号する必要があり、これには膨大なコンピュータ処理能力が必要です。これは攻撃者にとって投資する価値がないかもしれません。
一般データ保護規則(GDPR)およびその他のデータ保護規則や法律は、個人のデータを保護し、データ所有者に高額な要件の遵守を求めます。GDPRは、個人データの共有や保存方法を管理する厳格な法的基準を設けています。
GDPRによると、データプライバシー規則の違反に対する罰金は、約2250万ドルから、違反企業の年間収益の4%までのいずれか高い方に相当します。欧州連合の新しいGDPRの下で科された顕著な罰金には、航空会社に対する2億2200万ドルと、多国籍ホテル企業に対する1億2000万ドルが含まれます。
新法の下では、個人のデータを保持する企業は、データ侵害または身元盗用の事例を発生から72時間以内に欧州の監督機関に報告しなければなりません。これにより、侵害されたデータが暗闇に放置されず、個人は自分のデータが悪意のある行為者の手に渡っているかどうかを知ることができます。
アメリカ合衆国では、カリフォルニア消費者プライバシー法が、個人のデータを収集する企業にGDPRに似た規制を課しています。2020年1月に施行された消費者プライバシー法は、データ漏洩や悪用を防ぐためにインターネットのプロトコルと標準を強化することを目指しています。
今日、デジタルプライバシーの世界に新たな時代が幕を開けています。カリフォルニアの法律とGDPRの下では、データ漏洩は今や規制当局に開示されなければなりません。州議会の両院で全会一致で可決されたカリフォルニアのデータプライバシー法案は、技術およびソーシャルメディア企業のデータ収集慣行に制限を加え、それによって消費者から盗まれて悪用されるデータの量も制限しています。
2019年、米国連邦取引委員会は、プライバシーに関連する8つの異なる違反行為を理由に、ソーシャルメディア企業Facebookに前例のない罰金(50億ドル)を科しました。今日の世界では、私たちのデータへのアクセスを持つ民間企業がこれまで以上に増えており、それらを監視しなければ、私たちのデータが盗まれたり、悪意のある第三者に売却されることになるかもしれません。
データを適切に管理しなければ、データを盗んで暗号化し、身代金を支払うまでアクセスできなくするブラックハットハッカーの被害者になる可能性があります。しかし、強力なパスワードの使用、データの外部ストレージデバイスへのバックアップ、安全なファイル共有サービスの利用、個人情報を誰に伝えるかに注意することで、データ盗難を防ぐことができます。
2018年と2020年にそれぞれヨーロッパのGDPRとカリフォルニア消費者プライバシー法が施行されたことで、サイバーレジリエンスを達成することがこれまで以上に重要になりました。民間企業や組織は、包括的なデータプライバシー規制の遵守が求められていますが、個人も責任あるデータプライバシー習慣を維持し、自分のデータが悪意のある手に渡らないようにする必要があります。