要点
データ侵害は、誰かが侵入して組織の資産やリソースにアクセスしたときに発生します。ほとんどの侵害は、個人の盗まれたログイン認証情報を使用するか、ハッカーがリモートからアクセスできるマルウェアをコンピュータシステムにインストールすることで発生します。また、ハッカーがシステムの弱点(脆弱性)を悪用する場合もあります。
意図せずに会社または顧客のデータを開示してしまうことは、データ漏えいです。これは、設定ミスのあるクラウドベースのストレージ、特定のファイルやデータベースに対する適切なセキュリティ権限の不足、または従業員による偶発的な開示によって生じます。
データ侵害とデータ漏えいの最大の違いは、意図です。データ侵害には、攻撃者が組織の認証情報を取得するために行う意図的(かつ悪意のある)な行為が含まれます。データ漏えいは、機密データが誤って外部の第三者に開示されたときに発生します。
データ侵害インシデントに対処するには、IRとフォレンジック分析が必要です。データ漏えいに対処する場合、最初に取るべき対応は、漏えいを封じ込め、どのデータが侵害されたかを評価し、組織のデータガバナンスの実践を改善することです。
はじめに
Canvas学習管理システム(LMS)の提供企業を覚えていますか。残念ながら、悪い知らせがあります。今年、そのクラウドホスト環境がデータ侵害を受けました。職員、教師、生徒に関連する2億7,500万件超のレコードが失われました。事態は急速に悪化し、制御不能になりました。ShinyHuntersランサムウェアグループは、世界中の約9,000校に影響を与えました。これはデータ侵害であり、標的型で、意図的に行われたものです。
データ漏えいは、より偶発的です。よく考えずにオンラインで自分のパスワードを漏らしてしまうようなものだと考えてください。たとえばチャット上で、あるいはどこかの乗っ取られたポータルでそれを再利用してしまう場合です。
どちらがましということはなく、どちらも深刻です。データ侵害とデータ漏えいはどちらも、機密情報を本来あるべきでない場所に置いてしまうからであり、しかも始まり方は同じではありません。
セキュリティチームがこれらを同じ問題として扱うと、根本原因を見逃し、誤った対応を選んでしまいます。
このガイドでは、データ漏えいとデータ侵害の違いを学びます。実際の事例、それぞれがどのように機能し進行するのか、そして修復または軽減に必要な技術的ソリューションを詳しく解説します。また、データ漏えいとデータ侵害の両方を防ぐためのベストプラクティスについても学べます。興味がありますか。ぜひ読み進めてください。
データ侵害とは何か?
データ侵害は、犯罪者が顧客リスト、企業秘密、銀行取引明細などの価値ある個人情報や企業情報に対して、許可なく違法にアクセスしたときに発生します。
一般に、これはフィッシングメールとのやり取り、コンピュータシステム内の未修正の脆弱性の悪用、credential stuffing(あるサイトで有効な認証情報を使って別のサイトへのログインを試みること)、または悪意のあるコードを使ったマルウェア配信など、一連の行為に起因する可能性があります。侵入後、犯罪者は「lateral movement」(つまり内部ネットワーク内を移動すること)を行い、権限を昇格させ、その後、標的データをネットワークまたはシステム外へコピーします。
犯罪者が狙うデータの種類は、収益化できるものによって異なります。個人を特定できる情報(例:氏名、住所、Social Security番号)、医療記録、クレジットカード(またはそれに関連する番号や有効期限)、あるいはあなたやあなたの会社に関するその他の機密情報を盗もうとする可能性があります。
一般に、組織がデータ侵害を特定するまでには、発生後数週間、場合によっては数か月かかることがあります。そのため、犯罪者には盗んだデータを収集し、まとめ、販売するための十分な時間が与えられます。
データ漏えいとは何か?
データ漏えいは、機密データが意図しない相手に誤って漏れてしまったときに発生します。サイバー攻撃者が強制的にシステムへ侵入するデータ侵害とは異なり、データ漏えいでは、機密データが誤って誰でもアクセスできる状態になります。データ漏えいは、Amazon S3バケット、Elasticsearch、クラウドベースのデータベースの設定が不適切な場合に発生することがあります。保護されていないgitリポジトリや、過度に開かれたデータ共有プロトコルも、データ漏えいの原因です。
機密データには、文書、APIキー、さらには顧客データベースも含まれます。漏えいしたデータがたった1つでも、攻撃者がフィッシング攻撃を作成したり、最終的な侵害に向けてネットワークへの不正アクセスを得たりするには十分です。データが意図的に漏えいされたわけではなくても、コンプライアンスの観点では、データ侵害とデータ漏えいの影響は同様に深刻です。
データ侵害とデータ漏えいの重要な違い
すべてのセキュリティチームが知っておくべき、データ侵害とデータ漏えいの重要な違いを以下に示します。
意図と原因
データ侵害のケースでは、その行為の背後に何らかの悪意ある意図が存在しなければなりません。組織の外部または内部の誰かが、本来アクセスすべきでないものにアクセスするためにセキュリティプロトコルを回避することが考えられます。これに対して、データ漏えいには悪意ある意図は伴いません。単なる偶発的なものである可能性があります。
事象の性質
データ侵害は侵入イベントとして発生するため、兆候が現れます。たとえば、不正なログイン試行、C2通信、特定の場所へのデータの集約などが見られることがあります。一方、データ漏えいはかなり受動的です。能動的な攻撃はありません。単に、本来そうすべきでない場所にデータを公開してしまっているだけです。
検知方法
侵害を把握する方法は、脅威検知ソリューションからの通知によるものです。異常が侵害を示します。一方、漏えいは、アナリストまたは何らかの自動化されたセキュリティツールによってデータが発見されたときに検知されます。従業員を通じて、自分たちで誤ってデータを漏らしてしまうことさえあります。この種のケースでは、データ侵害のアラートシステムは役に立ちません。
規制上の影響
規制上の目的では、どちらの事象も同じカテゴリに分類されます。したがって、GDPR、HIPAA、CCPAのルールは両方のケースに等しく適用されます。ただし、侵害は既存のセキュリティ脆弱性によって発生したため、規制当局はより問題視する可能性があります。しかし、後者のシナリオであっても、データ漏えいとデータ侵害がどのように発生したかを説明しても、保護にはなりません。
対応アプローチ
データ侵害管理は通常、攻撃の阻止、被害全体の封じ込め、そして侵害の範囲を把握するためのフォレンジック実施から始まります。データ漏えい管理は、よりプロアクティブです。権限を取り消し、あらゆるデータを削除し、関連するすべてのキーを直ちに変更する必要があります。データ侵害とデータ漏えいの違いがまだわからない場合は、以下の表を確認してください。
主な違い:データ侵害とデータ漏えい
以下は、データ侵害とデータ漏えいの主な違いの一覧です。
| 観点 | データ侵害 | データ漏えい |
| 定義 | 攻撃者によるデータへの不正アクセスと持ち出し。 | エラーまたは設定ミスによるデータの偶発的な露出。 |
| 主な原因 | 悪意ある活動、外部または内部の脅威。 | 人的ミス、不十分なクラウド衛生、過度に許可されたポリシー。 |
| 意図 | 意図的かつ標的型。 | 非意図的。 |
| 典型的な侵入口 | フィッシング、脆弱性の悪用、盗まれた認証情報。 | 設定ミスのあるデータベース、公開バケット、メール送信ミス。 |
| 指標 | 異常なログイン、lateral movement、データ持ち出しアラート。 | 公開アクセス可能なストレージ、検索エンジンによるインデックス化、セキュリティ研究者からの通知。 |
| 脅威アクター | 能動的な敵対者(サイバー犯罪者、国家、内部関係者)。 | 露出時点では直接的な敵対者はいない。 |
| 即時対応 | インシデントレスポンス、封じ込め、フォレンジック。 | 露出の除去、アクセス制限、キーのローテーション。 |
データ侵害とデータ漏えいの実例
実際のインシデントを見ると、データ侵害とデータ漏えいの違いが理解できます。以下の事例を見てみましょう。
- 2026年の始まりの時点で、北米で事業を展開する大手医療チェーンがデータ侵害の標的となりました。ハッカーは従業員の侵害された認証情報を使って患者ポータルに侵入し、そこから医療データと、200万人を超える患者の保険情報を持ち出しました。侵入はフィッシングメール攻撃として始まり、その後、バックエンドデータベースへのlateral movementの結果として進行しました。
- Crimson Collectiveは今年活動し、100万人超の顧客を標的にしました。これは大規模なランサムウェア攻撃であり、その後、2026年4月頃に発生したBooking.comのサードパーティデータ侵害もありました。AI支援型のソーシャルエンジニアリング攻撃は検知がはるかに難しく、ハッカーは現実世界の誘因を利用するため、これらのインシデントには人的要素が加わります(そのため、セキュリティ自動化ツールで自動フラグ付けできません)。
- またほぼ同時期に、欧州のあるフィンテック企業は、ローンアプリに関連する大量の機密データを含むElasticsearchインスタンスが偶発的に露出していたことを把握しました。それはログイン不要で6か月間アクセス可能な状態でした。研究者が定期的なオンラインスキャン中にそのデータ侵害を発見し、責任ある形で企業に通知しました。データ自体は実際には悪意を持ってアクセスされたわけではなく、むしろデータ漏えいと呼ばれるものに該当します。
- ある技術サービスプロバイダーは、AWSにアクセスするための複数の認証情報を含むGitHubリポジトリを公開状態のままにしていました。その結果、スクリプトが自動的にこれを発見し、暗号資産マイニング基盤を立ち上げるため、また顧客のデータレポートを含むS3バケットにアクセスするために使用しました。なお、当初は明らかにデータ漏えいにつながるミスでしたが、最終的にはデータ侵害に発展した点に注意が必要です。
データ侵害とデータ漏えいを防ぐためのベストプラクティス
企業でデータ侵害とデータ漏えいを防ぎたい場合に従うべきベストプラクティスを以下に示します。
- クラウドセキュリティ態勢管理ソリューションを使用して自動スキャンを実施し、設定ミスのあるクラウドストレージサービス、保護されていないクラウドデータベース、過度に許可されたIAMロールを特定します。インターネットへのデータ露出につながる脆弱性を優先してください。
- 特権クラウドロールに対してJITアクセス制御を実装します。昇格権限を持つユーザーには、タスク実行に必要な期間だけアクセスを付与し、一定時間後に取り消します。
- 継続的インテグレーションパイプラインとすべてのリポジトリでシークレットスキャナーを使用します。ハードコードされたシークレット、APIトークン、暗号鍵が本番環境に現れることがないようにしてください。
- 最小権限の原則を実践し、サービスアカウントには業務遂行に必要なデータベースとファイルのみにアクセスを許可します。他のユーザーに対して、機密データを読み取るための過度に許可された権限が存在しないことを確認してください。
- UEBAツールを使用して異常な振る舞いを特定します。通常の従業員による異常な量のデータダウンロードは、アカウント侵害または悪意ある内部関係者の兆候である可能性があります。
- データ侵害を防ぐには、ネットワークセグメンテーションと強力なファイアウォールポリシーが不可欠です。機密情報を扱うシステムでは、外向き接続の制限を検討してください。
- エンドポイントにEDRソリューションを導入し、認証情報の収集攻撃、不正なPowerShellスクリプトの実行、インフラに対するliving-off-the-land攻撃を検知します。
- レッドチーム演習を定期的に実施し、すでに一部のリソースを侵害した攻撃者が、侵害シナリオでさらに先へ進むために取り得る経路を確認します。
- 脅威に即座に対処するため、データ漏えい専用のインシデントレスポンス計画を策定します。公開アクセスの削除、露出したデータ範囲の特定、コンプライアンスチームへの通知などの対応を含めるべきです。
- ダークウェブのフォーラムやpastebinを定期的に監視(検索)してください。侵害された認証情報を発見することで、侵害の試みが行われる前にパスワード変更を実施できます。
SentinelOneはデータ侵害とデータ漏えいの防止にどのように役立つのか?
SentinelOne's Singularity Platform は Autonomous Security Intelligence (ASI) によって支えられています。これは、悪意ある振る舞いを特定し、重要な作業を自動化し、マシンスピードで脅威に対応する、プラットフォームの基盤に組み込まれたインテリジェンスファブリックです。ASIにより、セキュリティチームは、偶発的なデータ露出や侵入の試みが深刻化する前に特定するための可視性と自律的な機能を得られます。Singularity™ Platformは、エンドポイントテレメトリ、クラウドワークロードテレメトリ、IDプロバイダーテレメトリ、ネットワークテレメトリを1つのデータレイクに統合し、露出した資産または進行中の侵害のいずれかである可能性を明確に把握できるようにします。
偶発的な露出の場合、Singularity Cloud Security はクラウド環境を継続的にスキャンし、設定ミス、保護されていないストレージ、APIキー、認証情報、トークンなどの露出したシークレットを検知します。このプラットフォームは、敵対者が発見する前に、露出したデータベースやアクセス可能なストレージバケットを自律的に検知します。さらに、Offensive Security Engine with Verified Exploit Paths™ は攻撃ベクトルをマッピングし、漏えい時に敵対者が正確にどこまで到達可能かを理解するのに役立ちます。
また、データ侵害が発生した場合、Singularity™ Endpoint と Singularity™ Identity は、マシンスピードの振る舞いAIを使用して、ランサムウェア、認証情報の窃取、lateral movementを検知します。Storyline™ テクノロジーは数百万件の生イベントを相関分析してインタラクティブな攻撃タイムラインを作成し、侵入者がどのようにアクセスを獲得し、どのデータを持ち出したのかを正確に示します。Purple AIにより、アナリストは自然言語クエリを使って不審な振る舞いを検索し、脅威ハンティングを実施し、要約レポートを作成し、即時の緩和策を受け取ることができます。
SentinelOne's Incident Readiness and Response services により、企業は24時間365日の監視と迅速な緩和の恩恵を受けられます。データ侵害によって露出した資産をハッカーが悪用した場合でも、SentinelOneのIncident Responseチームは、ホストの隔離、悪意あるプロセスの停止、1-Click rollbackによる数分以内のエンドポイント復旧に対応できます。SentinelOne’s Wayfinder Managed Detection & Response (MDR) も、データ漏えいを起点とする多段階攻撃を検知するためのクロスドメイン可視性を提供します。
結論
偶発的なデータ露出に対処している場合でも、進行中の侵入に対処している場合でも、対応の出発点は、自社環境に何があり、データがどこを流れているかを把握することです。SentinelOne's Singularity Platform は、エンドポイント、クラウド、ID全体にわたる統合可視性をセキュリティチームに提供し、漏えいが侵害になる前に機能する自律的な検知と対応を実現します。
よくある質問
すべてのdata leakがdata breachであるとは限りません。leakは、設定ミスのあるデータベースのように、機密データが偶発的に露出したときに発生します。breachは、誰かが侵入して意図的にデータを盗んだことを意味します。leakを発見しても悪意のあるアクセスが発生していなければ、それは単なるleakです。しかし、攻撃者がその露出したデータを取得した場合、それはbreachになります。leakがbreachに発展することはありますが、始まり方は異なります。
GDPRのような規制では、leakとbreachの両方を個人データインシデントとして扱います。人々にリスクがある場合は、当局に通知しなければなりません。攻撃によるbreachは、ほぼ常に開示が必要です。leakの場合、露出したデータに誰もアクセスしておらず、リスクもないことを迅速に示せれば、報告を省略できる場合があります。しかし、確信が持てない場合は、開示すべきです。迷ったら報告してください。
いいえ、data leakを常に開示しなければならないわけではありません。leakによって個人データが露出しても、外部の誰もアクセスしていないことを証明でき、かつ迅速に修正した場合、規制当局が通知を求めないことがあります。ただし、露出したデータに健康情報や財務情報のような機微な情報が含まれており、誰かが見た可能性が少しでもある場合は、開示すべきです。判断する前に、地域の法令を確認してください。迅速に対応し、すべてを文書化してください。
一般に、data leakのほうが検知は困難です。明確な攻撃がないためです。設定ミスのあるクラウドストレージや従業員のミスは、何か月も見過ごされることがあります。breachは、不審なネットワークトラフィックやマルウェアアラートのような手がかりを残すことが多いため、適切なツールがあればより早く検知できます。ただし、ステルス性の高いbreachは依然としてうまく隠れる可能性があります。leakを早期に発見できなければ、breachに発展する可能性があります。
data leakに対しては、data loss prevention (DLP) とcloud security posture managementツールを優先してください。これらは、設定ミスのあるストレージや露出したデータベースを見つけて修正するのに役立ちます。data breachに対しては、endpoint detection and response (EDR) とSIEMに重点を置いてください。これらは、マルウェアや不審なログインを検知します。また、data classificationツールも使用すべきです。これらはleakとbreachの両方に役立ちます。監視が常時実行されていることを確認してください。

