世界の情報漏えい事故のデータベース公開、その意図

米SafeNet社が3月下旬に公開した情報漏えい事故のデータベース「SafeNet Breach Level Index」について、データベース公開経緯や、目的、反響、今後の課題などについて、SafeNet社日本法人日本セーフネット株式会社シニアセキュリティエンジニア高岡隆佳に聞いた。

高岡によれば、情報漏えい事故をデータベース化し、原因や件数などをもとに深刻度を指標化する「SafeNet Breach Level Index」のアイデアは数年前から社内に存在したという。その目的は、データベース暗号化と認証製品を販売するSafeNet社の市場需要喚起と啓発である。

なお「SafeNet Breach Level Index」では「Breach」とは、「非権限者によるデータアクセス」全般と定義されている。

同データベースの漏えい事故は、報道や事故元のプレスリリース等による公開情報をもとに収集される。各事故は「件数」「データ種別」「漏えい元」「悪用の有無」によってリスクの軽重が測られ、深刻度1(最小限)から10(破滅的)までの数値で表される。数値変換は「SafeNet Breach Level Index」を共同運営する米IT-Harvest社が作成し公開されている数式に基づいて行われる。

メディアはともかく、セキュリティ企業自身が、情報漏えい事故のデータベースを、事故が発生した企業の実名記載で公開するのはほとんど例がない。たとえば日本ではMBSDが、同社が収集するセキュリティ事件のデータを公開しているが、社名等は匿名化している。

高岡によれば「SafeNet Breach Level Index」を公開したことで、日本でもアメリカでも軋轢やセールス活動において障害はいまのところ発生していないという。高岡はこれを、SafeNet社が掲げる「セキュアブリーチ」というコンセプトにあると語った。

「Securing the Breach」「Secure Breach」「Accept the Breach」という3つの言葉で表されるこの概念は、暗号化等によって、たとえ情報漏えいが起こってもセキュアであるための技術実装を行う（Securing the Breach）ことで、情報漏えいを無力化し（Secure Breach）、それによってセキュリティ侵害をコントロール可能なものに変えていく（Accept the Breach）一連の流れを指す。

まだ日本の企業文化には早い考え方だが、MHIの情報侵害事件以降、日本でもIPAが「出口対策」といった言葉を使用し、感染や漏えいが前提条件となりつつある（入口だけでは防ぎきれない）。インタビューで高岡は「2014年が暗号化の元年」と語り、国内の暗号化需要への野心を表現した。

また高岡は「SafeNet Breach Level Index」は、管理者が最も知りたい、具体的にどのような脆弱性の存在やオペレーションミスが原因で事故が発生したかという情報が不足しており、今後、サードパーティと共同するなどして、この課題を解決していきたいと語った。（文中敬称略）