現在、クレジットカード番号、医療記録、パスワード、銀行口座情報などのあらゆる個人情報が標的になっており、2013年に起きたデータ侵害事件の上位8件は、いずれも数千万件規模のデータ流出を引き起こしている。なお、2012年に発生した同規模のデータ流出は1件のみだったという。
また、2013年に起きた標的型攻撃は、2012年から91%増加し、攻撃の持続時間も平均で3倍になったという。なお、役員秘書と広報関係者が最も攻撃を受けやすく、サイバー犯罪者はこうした人々を足掛かりとして著名人や企業幹部などを標的にするとしている。
サーバー犯罪は、大規模なデータ侵害、標的型攻撃、一般的なスパムなどさまざまだが、個人と企業が適切な防御をする手段として同社が推奨するベストプラクティスは以下だとしている。
企業向け
自社データの把握
情報を守るには、デバイスやデータセンターではなく情報そのものに注目する。機密情報の保存場所とフローを理解することで、それを守るための最適なポリシーや手順を決定することができる。
従業員教育
従業員に対し、情報保護の指針を提示する。個人および企業のデバイス上にある機密データを保護するためのポリシーや手順もその一つ。
強力なセキュリティ対策の導入
情報漏えい防止(DLP)、ネットワークセキュリティ、エンドポイントセキュリティ、暗号化、強力な認証および防御措置によるセキュリティインフラの強化とレピュテーションベースのセキュリティ技術を利用する。
個人向け
セキュリティ知識の向上
パスワードは、個人の情報を守る重要な鍵となる。パスワード管理ソフトを使用して、訪問するウェブサイトごとに強固かつ固有のパスワードを設定し、スマートフォンなどのデバイスのセキュリティソフトをつねに更新する。
警戒を怠らない
銀行口座やクレジットカードの不正使用がないか利用明細を確認し、未承諾のメールや心当たりのないメールの扱いに注意するなど、オンライン上の「うますぎる話」に乗らない。
相手の確認
銀行口座情報や個人情報を要求してくる小売店やオンラインサービスがあれば、そのポリシーを確認する。個人情報を提供しなければならないときは、メールで送信されるリンクをクリックするのではなく、企業の公式ウェブサイトから直接行なうのが最善策。
【関連リンク】
・インターネットセキュリティ脅威レポート第 19 号(ISTR: Internet Security Threat Report, Volume 19)」(英語)
