本セッションでは、情報漏洩、マイナンバー、ビッグデータ/IoTセキュリティといった、日本国内の企業が直面する課題と対策のポイントについて解説します。また、セキュリティ対策の最新トレンドについては、米国の事例をあげながら、セキュリティ対策を実行に移す上で重要な役割を担う、Chief Data Officer(チーフデータオフィサー)についてや、アプリケーションレイヤーからインフラレイヤーや移行しつつある米国の最新セキュリティ対策事情についても紹介します。
11. 1-2. 米国の情報漏洩事例に見る
サイバーセキュリティと個人情報保護の課題
「Update: Top 5 Health Data Breaches」
Healthcare Info Security(2015年2月5日)より
11
企業・団体名 漏洩件数 漏洩の原因 漏洩した情報 外部委託
先関与
Anthem
(医療保険者)
8,000万件 外部からのサイバー
攻撃
名前、誕生日、医療ID、社会保障番号、住
所、メールアドレス、雇用情報、収入データ
なし
TRICARE
(政府機関)
490万件 外部委託先のバック
アップテープ盗難
社会保障番号、名前、住所、電話番号、臨
床ノート、臨床検査、処方箋
あり
Community
Health Systems
(医療機関)
450万件 外部からのサイバー
攻撃
名前、住所、誕生日、電話番号、社会保障
番号
なし
Advocate
Medical Group
(医療機関)
403万件 暗号化していないPC
の盗難
名前、住所、生年月日、社会保障番号、診
断、電子カルテ番号、医療サービスコード、
医療保険情報
なし
Texas HHS
(政府機関)
200万件 政府と元外部委託先
との訴訟中に漏洩
名前、誕生日、メディケイド番号・電子カル
テ・レセプト、診断コード、レポート、写真
あり
12. 1-2-1. 米国の病院チェーン(NYSE上場企業)
Community Health Systemsのケース(2014年8月)(1)
2014年8月、不正アクセスにより、患者約450万人の個人情
報が流出した可能性があることを公表
オープンソースのSSL/TLS実装ライブラリ「OpenSSL」の脆弱
性を突いた海外からのサイバー攻撃が発端となったことが
判明
ニューヨーク証券取引所(NYSE)の上場企業である
証券取引委員会(SEC):米国企業改革法(SOX)に基づき、
財務報告に係る情報開示や内部統制を義務付ける
12
13. 1-2-1. 米国の病院チェーン(NYSE上場企業)
Community Health Systemsのケース(2014年8月)(2)
海外からのサイバー攻撃が発端となった
テロ対策を所管する国土安全保障省(DHS)の調査
サイバー犯罪を所管する連邦捜査局(FBI) の調査
患者の保護対象保健情報(PHI)が流出
HIPAAを所管する保健福祉省(HHS)への報告義務
顧客らが損害賠償請求の集団訴訟を提起
連邦民事訴訟規則(FRCP)に基づく電子証拠開示(eディス
カバリー)への対応
13
14. 1-2-1. 米国の病院チェーン(NYSE上場企業)
Community Health Systemsのケース(2014年8月)(3)
(参考)情報セキュリティ/コンプライアンス責任者の経歴
Director, Security and Compliance(事案発覚当時)
Manager of Security Strategy and Compliance / Threat and
Vulnerability Management
Threat and Vulnerability Management team lead, and lead for
the Computer Security Incident Response Team (CSIRT)
U.S. Army Reserves
IT Manager, Music Record Distributors
(保有資格) CCNP、CCNA、MCSE NT 4.0、CWNA
14
18. 1-2-2. 米国の医療保険者(NYSE上場企業)
Anthemのケース(2015年2月)(4)
(参考)情報セキュリティ/コンプライアンス責任者の経歴
Vice President, IT Security & Chief Information Security
Officer (事案発覚当時)
Board of Directors, The Health Information Trust Alliance
(HITRUST)(事案発覚当時)
Oversees IT risk management, cyber-investigations and
ensures corporate compliance with federal and industry
regulatory mandates that protect sensitive information.
More than 30 years experience in developing and managing
best-in-class physical, logical and information security
programs for domestic and international business operation.
(保有資格) CISSP-ISSAP, ISSMP, CIM
18
49. 3-4. 海外事例に見るCIO/IT部門の変化と
チーフデータオフィサーの役割の方向性(1)
IT組織の「I」は「Innovation」(米国行政機関の例)
Department of Innovation and Technology (DoIT)
Office of the Chief Information Officer (CIO)
Enterprise Systems
Software Development & Application Support
Enterprise Architecture (Chief Technology Officer)
Technical Operations
Information Security(Chief Information Security Officer)
Planning, Policy & Management
Data Science(Chief Data Officer)
Finance and Administration
49
54. 4-1. NISTビッグデータ相互運用性フレームワーク
V1草案とセキュリティ/プライバシー対策(1)
ビッグデータの定義:
Big Data refers to the inability of traditional data
architectures to efficiently handle the new datasets.
Characteristics of Big Data that force new
architectures are volume (i.e., the size of the dataset)
and variety (i.e., data from multiple repositories,
domains, or types), and the data in motion
characteristics of velocity (i.e., rate of flow) and
variability (i.e., the change in other characteristics).
54
出典:NIST Big Data interoperability Framework Version 1.0 Working Drafts. (2015年4月)