情報漏洩のコストは7%上昇-米国調査

2010年、アメリカの企業が情報保護違反(情報漏洩)で支払ったコストは昨年より7%上昇し、
1インシデントあたり720万ドルにのぼります。
Ponemon Institute LLCという情報セキュリティの研究所が、機密情報保護違反の対応コストに
関する調査レポートを発表しました。企業が顧客情報(クレジットカード情報やソーシャルキュリティ
番号等の機密情報)を漏洩・流出させた事件の件数と、その対処に掛かった金額に関する調査で、
継続的に実施、発表されているレポートです。
それによれば、2010年、機密情報保護違反にかかった費用は昨年(2009年)より7%上昇し、
1インシデントあたりで平均720万ドル(約6億円)、1レコードあたりでは214ドルでした。
特に今年の調査で目立つのは、悪意の又は犯罪性事件の増加です。それらは対応コストも
高額になる傾向があります。
2010年の漏洩事件全体の中で、悪意又は犯罪性の事件は、件数にして31%。1レコード
あたりのコストは平均318ドルでした。2009年に比べて件数で7%、金額では43%の増加です。
同研究所会長の Larry Ponemonによれば、米国の全企業のうち約85%が、1件以上の
機密保護違反(data breach)を経験しており、情報漏洩にかかる総合費用は毎年上昇を
続け、減少のきざしはありません。そのため、企業はますますネットワークや情報漏洩防止の
ための投資を増額しています。

ニューヨークのリーガルテック2011の動向

ニューヨークで毎年1月末にリーガルテックという展示会が開催されています。これは法律に関わる人達が使うITの展示会でe法務に関するソリューションが数多く出展されています。
今年のリーガルテックでもクリアウェル、ガイダンス、EMCなど代表的なe法務ベンダーが展示をしていましたが、各ベンダーが注目していたのは「社内e法務」でした。
日本ではe法務を行う際はサービスベンダーに依頼をする場合が多いと思われますが、機密情報への対処、e法務を訴訟だけのピンポイントで使うのではなく、ビジネスプロセスとして日常的に社内で使うケースが多くなってきています。
但しe法務を社内で行う際には「社内でe法務をサポートする体制になっているのか」という問いに答えなければなりません。またITの側面からデータセンター、クラウド、端末からのデータ収集が効果的に行えるのかという事も重要です。
e法務の導入が進んでいるアメリカでもe法務が一般的な新聞の話題になる事はあまりありません。
3月4日付けのニューヨークタイムスに「Armies of Expensive Lawyers, Replaced by Cheaper Software(高価な弁護士軍団が安いソフトウェアに置き換わる)」という記事が掲載されました。以下はその記事の抜粋です。
1978年にメディア企業であるCBSは訴訟で600万点の書類を220万ドルのコストをかけて精査したとあります。コストの主な内訳は弁護士に数ヶ月に渡って支払う書類の精査に掛かる費用でした。2011年の1月にCBSは1500万点の書類を精査しましたが、掛かった費用は10万ドル以下でした。
この明らかなコストダウンはe法務ソフトウェアを使うことにより実現出来たとあります。e法務ソフトウェアが「関連のある書類のみ」抽出してくれるからです。
例えば「中東でのデモ」に関する書類を社内のデータベースから探すために、弁護士達は数百万もの関連の無い書類に目を通して除外しなければならないのです。
昨年弁護士事務所のDLA-Piperはクリアウェル社のソフトウェアを用いて57万もの書類を2日で精査しました。3日目には3,070の関連ある書類のみ抽出して訴訟の対応をする事が出来ました。人間が手作業で行えは数週間、数ヶ月かかったプロセスです。
ある化学薬品会社担当の弁護士であるHerr氏は80年代及び90年代の過去のケースを再度e法務ソフトウェアで精査してみたところ、当時の人手によって長期間かけて行われた書類の精査の正確性はe法務ソフトウェアを使った場合と比較して60%の精度だったとの事です。
e法務ソフトウェアは膨大な電子情報を持つ企業にとっては必要不可欠なビジネスツールなのです。

告発サイト「ウィキリークス(WikiLeaks)」の概要

内部告発サイト「ウィキリークス(WikiLeaks)」の創設者ジュリアン・アサンジ(Julian Assange)氏がロンドンで別件逮捕された。
ウィキリークスの概要とこれまでの活動について簡単にまとめておく。
詳細な情報は他にも多数上がっているのでそれらを参照していただきたい。
ウィキリークス(Wikileaks)とは、団体名でありサイト名でもある。政府や企業などの機密情報を、主に内部告発を情報源として収集、インターネットを通じて世界に公開している。
「サラ・ペイリンのヤフーアカウント情報流出」事件で、同サイトの知名度が飛躍的にあがった。
2008年9月、アメリカ合衆国大統領選挙期間中に共和党の副大統領候補として出馬中のサラ・ペイリン(Sarah Palin)の個人的なYahoo!メールアカウントがハックされ、掲示された件である。
そして世界に大きく衝撃を与えたのは「2007年7月12日の米軍による民間人攻撃の動画」だ。2010年4月に公開された空撮映像は、CNNやNYT、英BBCなど欧米主要メディアでも繰り返し報道された。
この銃撃ではロイター記者2名が死亡している。ロイターは民間人を武装兵と誤認したのではないかと状況調査や各種記録の提出を要請したが、米軍は「戦闘中の出来事」であるとし拒否していたものであった。
その他、アフガン紛争関連の機密情報7万5000件以上(2010年7月)やイラク戦争の米国機密文書40万件以上(同年10月)などが次々に公開された。
11月28日には、1966年12月28日からの25万件以上にのぼる米国外交公電が逐次公開されはじめ、世界中の注目が集まっている状況である。
なぜ、ウィキリークスでは大量の機密情報を入手、公開できるのか。
その情報源は、ほとんどが内部告発である。
告発者は危険にさらされる例が大半であることから、告発者を守るために、軍レベルの暗号技術を駆使。さらにサーバーの設置場所も未公開、ログ(記録)も取得せず、告発者の匿名性を守るために強固なセキュリティ対策を施しているという。
ウィキリークスの活動の是非以前に、これほど大量に機密情報が取得できてしまったという事実が米国でも衝撃を持って受け止められている。本来は企業よりも厳重なセキュリティが施されてあるべき軍・機密組織の情報管理体制に、疑問が投げかけられている形だ。
ウィキリークスは、創設者の逮捕とは関係なく活動を継続すると表明しているだけでなく、同サイトのミラーサイトが続々と誕生している。
ネット上でいったん公開された情報を規制することは不可能に近いことの好例といえよう。

Eディスカバリー調査「The Socha-Gelbmann Electronic Discovery Survey」

George Socha and Tom Gelbmannによる電子情報開示(EDDElectoric Data Discovery)に関する調査。
2003年から連続して実施されているもので、2009年の調査は、主に市場規模、トレンドなどにフォーカスした調査だった。
以下、特に注目すべきポイントをご紹介する。
・09年のEDD市場バリューは、前年比約10%増しの約28億ドルになると予測、さらに2010年、11年には、10%から15%の成長が予想されている。
ちなみに09年の金融崩壊の津波が来る以前は、09年には30%、10年には25%の成長が見込まれていた。
・EDDマーケットは成熟しながら成長を続けるが、近年の経済危機を踏まえて、eDiscovery関連コストを抑制する努力に一層拍車がかかっている。08-09年に特徴的だった動きは”より左側へ” というもので、EDRMモデルの図の”左側へ”注力しようという流れだ。つまり、最もコストと時間が掛かるレビュー部分よりも手前にある「情報管理」「情報識別」「情報・データの保全」などの段階に注力して、EDDを効率よく実施しようという傾向である。
・EDD(電子情報開示)は、弁護士にも顧客(企業)にもより一般的なプロセスとなるため、情報管理の重要性がさらに一層高まる。
ちなみに2010年の調査は、Eディスカバリーの商業サービスとソフトウェアについてフォーカスされている。例年、年末前には結果が公開されているので、10年版もそろそろ発表されるだろう。

E-Discovery スペシャリスト認定試験(米国)

ACEDS(Association of Certified E-Discovery Specialists)が、eディスカバリー分野では初の、認定資格試験を実施すると発表した。
これは計量心理学に則った試験であり、50以上のeDiscovery、計量心理学、検定分野の専門家の参画によって実現に至った。
CEDS試験では、コストコントロール、予算管理、倫理観などから、訴訟ホールド、保全、データカリング、情報審査(レビュー)などについての知識を測る。特定のソフトや製品の知識を問うことはしないし、製品トレーニングも行われない。
試験はUS314箇所、カナダ28箇所などの519箇所で実施される予定。
受験者は、CEDS Examination Candidate Handbook(PDF)の他、受験資格や応募方法などの情報をACEDSのウェブサイト(ACEDS.org/certification)から取得することができる。

eDiscoveryの対象となったRAM内データ

eディスカバリー(電子情報開示請求)では、ESIの範囲がどこまで広がるかは大きな関心事だ。
RAMのデータがESI(Electrical Stored Information)として提出対象となった有名な判例がある。
コロンビアピクチャーズがTorrentSpyを著作権侵害で訴えた裁判で、その判決が2007年6月公開されると、驚きをもって迎えられた。
BitTorrentが運営していたサイトTorrentSpy.comは、Torrentファイル向けの人気検索エンジンで、Bit Torrentファイル共有プロトコルでファイルを公開・検索可能にしていた。
判決では、原告側の主張を大幅に認め、TorrentSpyにユーザーのログ提出を命じた。TorrentSpyは、ユーザーのプライバシーを保護するためサーバーなどにも一切ユーザデータは保存していないと主張していた。しかし原告側は、コンピュータのRAMにはユーザー情報が残されているのでそれを証拠として提出するよう求め、それを認める判決が出されたのだ。
RAMのデータは一時的にストアされるだけで、無論その証拠能力、保全性は限界がある。しかしここでは、提出できる証拠は存在しないという主張をRAMの存在が覆したことの意義が大きい。FFとCDTは、RAMはキーボードのキーストロークやデジタル電話システムでの会話まで一時的にストアすることから、この判例の影響が過大になり得ることを懸念し、判決を覆すよう法廷助言書の提出をしたほどだ。
誠実に公正なビジネスを行っている一般企業では、RAMについて、この判例を理由に過剰に神経質になる必要はないだろう。しかし、テクノロジーの進展に伴うビジネスや生活の変化によって、訴訟に伴うESIの概念も常に変化していくことは間違いない。

NISTが開発する、新しい携帯電話用フォレンジックツール

NIST(the National Institute of Standards and Technology/アメリカ国立標準技術研究所)より、携帯電話のフォレンジクスツールについてレポートを発表した。

それによれば、NISTは、犯罪科学捜査用のモバイルフォレンジック(鑑識)ツールに関する新技術を開発した。初期の実験で既に、従来の手法より簡単かつ高速に、より厳密な査定が可能になるという結果が得られている。

携帯電話は、各個人のコミュニケーション状況についての主要な情報源の一つであり、いつ、どこで、誰と、どのような会話やテキストメッセージを交わしているか、などの情報を携帯電話から取得できる。
大多数の携帯電話には、IMという小さなチップカードが内蔵されており、利用者(Subscriber)の各種利用履歴などが記録される。SIMカードには、電話の発着信情報、テキストメッセージの内容、アドレス帳、電話会社の情報などが蓄積されている。その中の情報をすべて引き出して、事件発生時の利用履歴や関連情報を洗い出していくことがフォレンジック技術者の仕事だ。

しかし、収集した情報が正式証拠とされるためには、フォレンジックソフトウェアの使用適合性が正式に認証されている必要がある。この新しいツールの査定には、新しいコマンド言語を学ぶ必要もあり、まだ非常に多くの労力を要する状態だ。NIST技術者は、多くのフォレンジック鑑識官のテスト使用、そして多くの検証を経た後には、将来的にはオープンソース化も視野に入れているようである。

犯罪捜査におけるモバイルフォレンジックの重要性は高まる一方だが、コンピュータフォレンジクスとは異なり、国やメーカー、そして機種ごとに大きく仕様が異なることが捜査の障害となる例も多い。
日本におけるモバイルフォレンジックツール、フォレンジック調査に関しては、Japan Forensic Instituteまでお問合せいただきたい。

マルウェアが着せた汚名 - フォレンジックで無実を証明

abc 11102009.jpg

現代社会では、事件・犯罪調査において、PC内のデータが決定的な証拠とされることも多い。  
しかし、ごく稀に 「データがある=(イコール)証拠」と考えてはいけない事例がある。

そのようなケースでは、適切なコンピュータ・フォレンジックを実施しないことで、無実の人を犯罪者と誤認してしまう危険すらある。 今後は、一見シンプルに見える事件についても、フォレンジックは必須となっていくのかもしれない。
最近アメリカで、マルウェア(悪意のあるプログラム)によって犯罪者の汚名を着せられたケースが報道され反響を呼んだ。
マサチューセッツ州職員だったMichael Fiola氏は、2年前のある日、児童ポルノ犯として逮捕された。多額のインターネット料金を不審に思った上司と技術者の調査により、Fiola氏が使用していた州配布PCから大量の児童ポルノ写真が発見されたためだ。

さらに読む

e-discovery費用を抑える方法

FT 09062009.jpg

アメリカで訴訟に巻き込まれたり訴訟を起こす場合、Eディスカバりー(電子証拠開示)に巨額の費用がかかることを知っておかなくてはいけない。
FTの記事によれば、e-discoveryの直接費用は二桁の伸びをみせていて、100億ドルに近づきつつあるそうだ。記事では、制御不能な軍拡競争になぞらえつつ、プロセス自動化、アドバンストサーチなどの最新機能も、コスト低減にはつながらないだろうと指摘している。
「司法制度で、ディスカバりー(証拠開示)ほど恐ろしい言葉はない。たとえ潔白でも、原告/被告として正当な主張をしていても、書類その他の証拠を作成する義務があり、その作成過程は大変な苦痛と時間を伴うものだ。
そして今、社会のコンピュータ化という奇跡によって、ディスカバりーの痛みと費用はさらに悪化した」
「信頼できる筋からの話では、あるカリフォルニアのテクノロジー企業に関する特許訴訟では、内部予算として訴訟コストが400万ドル、ディスカバりーコストに2,000万ドルが組まれ、ディスカバりー費用の大部分は電子情報の検索とレビューにかかった」
米国はもちろん日本国内の訴訟であっても、今後ますます電子証拠は重要性を帯びるが、特に中小規模の企業にとっては、ディスカバりー費用は大変なダメージとなりうる。
コストを抑えるためには、問題が起きたときの正しい対応が重要である。
特に社内の人間が証拠確保を試みたりせずに、最初から正式な方法で証拠取得することは、基本的かつ最も重要な原則だ。証拠となるデータを不用意に操作することは、電源ON/OFFですら、証拠隠匿行為とみなされたり、または大事な証拠を失うというリスクにつながる。
特にアメリカでは、証拠開示請求に正しく対応していないとみなされると、非常に厳しい制裁的措置を受ける危険が高い。そうなってしまうと、費用や時間がかさむだけでなく、裁判自体も大変不利になる。
規模の大小を問わず、企業は電子証拠開示への対応を想定しておくことが求められる時代だ。
参考:Halt the destructive e-discovery boom (FT.com)

中国からの危険な再生チップによる米軍兵器の危機

china_chip.jpg

米国BusinessWeek誌にスクープされた中国産チップの問題で、米軍は非常に危険なリスクにさらされていることが判明した。

中国には中古PCや携帯電話から抜き取ったチップを新品のチップとして、ときには偽のスタンプを刻印して販売するチップ再生業者が存在するという。

その模様がBusinessWeek誌に取り上げられた。掲載された写真にはその現場の模様が生々しく映し出されている。その様子は昔の鋳鉄工場の様な怪しげな雰囲気であった。

しかもそのチップが軍用グレードとして、オンラインで販売されているという。米軍の発注したオーダーがライセンスを受けたIT業者に流れると、オーダーの型番からそのIT業者がネットでチップを調達する。その際に、再生された中国産チップが発注され、堂々と米軍兵器工場に納品されたらしい。

このチップが組み込まれたF15戦闘機が事故を起こしたことから、この問題が発覚した。同様の事故は、米軍偵察機、哨戒機、空母キャリアに至るまで様々な軍用機でみつかっている。イギリスのBAEでも問題が発生している。

FBIは類似ケースについて、すでに調査を行っているが、進行状況について詳細は不明である。

米軍の戦闘機、誘導ミサイル、核ミサイルに誤作動を引き起こすチップが組み込まれているとしたら非常に恐ろしい世の中になる。

情報ソース:
http://feedroom.businessweek.com/?fr_story=926e1836e83d0d2b9f5daf99e158dd90f79faea9