データ侵害とデータ漏洩の違いとは?
データ侵害(Data Breach)とデータ漏洩(Data Leak)は、どちらとも目にする言葉ですが、よく似ている言葉のため混同して使われやすいのも事実です。どちらも、見ることを許可されていない情報に誰かがアクセスすることを意味していますが、この2つの用語の違いはどこにあるのでしょうか?
データ侵害とデータ漏洩の違いは、その発生の仕方にある
データ侵害は、データを盗む目的で実行され、Webサービス、企業や組織に対して意図的かつ強制的に攻撃が行われた場合に発生します。サイバー犯罪者にとっては収益性の高いビジネスになっておるため、多くのデータ侵害が継続的に発生しています。最大規模の侵害では、数十億件規模の個人情報が搾取されています。
データ漏洩の場合は、それが発生した時点では実際の攻撃があるわけではありません。誰かが、すでに存在していた弱点を偶然見つけてしまった可能性もありますし、企業が情報を不適切に扱ったり、セキュリティ対策が不十分であったために漏洩する場合もあります。また、データ漏洩はなんらかの事故の結果として起こり得る可能性もあります。何れの場合も攻撃のきっかけになるため、最終的にはデータが危険にさらされてしまいます。
被害者にとっての脅威はどちらも同じ
データ侵害でもデータ漏洩でも、その脅威に変わりはありません。データが侵害したか漏洩したかにかかわらず、データが盗まれると、アカウントの乗っ取りや個人情報の盗難につながる可能性があります。データ窃盗に気付いた場合、まず行う必要があるのは、それがどのような情報であっても悪用されないようにすることです。たとえば、クレジットカード情報が危険にさらされた場合は、カードを凍結することを考えてください。
多くの場合、侵害や漏洩で危険にさらされるのはユーザの認証情報です。これは些細な事では済みません。しかし、データ侵害や漏洩によってパスワードが盗まれても、手遅れになる前に対処することができます。攻撃者は、データにアクセスできるような状態であっても、まだパスワードを使用してアカウントを乗っ取っていない可能性があります。搾取されたパスワードをすぐに変更することで、多くのトラブルを回避することができます。
データ侵害やデータ漏洩に備える方法
ユーザの立場からすると、データがどのように盗まれるのかは、それほど重要ではありません。データが侵害や漏洩によって盗まれる場合、そのような事態を完全に防ぐ手立てはありません。しかし、犯罪者がそのデータを悪用するのを難しくする手立てはあります。
ユニークで強力なパスワードを使用する
あらゆる場所で同じパスワードや少数のパスワードを使い回していると、パスワードが侵害されたときに、すべてのユーザアカウントが危険にさらされることになります。Web犯罪者は、ほとんどの人がパスワードを再利用していることをよく認識しています。パスワードの窃盗に成功すると、さまざまなユーザアカウントでそのパスワードを試します。ユニークなパスワードを使用すると、他のアカウントにアクセスできなくなります。パスワードをパスワードマネージャに保存すると、簡単にアクセスでき、記憶しやすくなります。
2要素認証を使用する
2要素認証は、パスワードに加えてユーザアカウントを保護する第2の障壁です。これにより、犯罪者は、盗んだユーザ資格情報を使用することが非常に困難になります。