暗号化により、企業や当局はサイバー攻撃の報告義務を免れる

企業や公的機関は、大量のデータを保存・処理するためにデータベースに依存している。これらのデータベースは通常、財務データ（納税記録、銀行口座、クレジットカード）、個人データ（自宅住所、人事ファイル）、製品データなど、ビジネスクリティカルで機密性の高い情報を管理している。データベースは通常、アプリケーションやウェブサービスと統合されているため、社内外のサイバー脅威に対して脆弱なままである。

多くのCIOやITリーダーは、自社のITインフラはサイバー攻撃から十分に保護されていると考えている。マルチレベル・ファイアウォール、アンチウイルス・ソフトウェア、侵入検知・防御システム（IPS）(1) などは、誤ったセキュリティ感覚を与えている。多くの人が認識していないのは、最大のセキュリティ・リスクは、これらのシステムを使用している従業員や関係者の内部からもたらされることが多いということです。

従業員や関係者がフィッシングメールや欺瞞的な社外電話の餌食になり、無意識のうちに悪意のあるリンクをクリックしたり、機密情報を部外者と共有したりすることがよくある。これは、フィッシングメールや電話の発信者が脅威として認識されなくなっていることが原因であることが多い。AIを駆使した欺瞞の進化により、以下のことがますます難しくなっている。
脅威を特定する。ストレスや時間的プレッシャーは判断力の欠如を招き、従業員はコストのかかるミスを犯しやすくなる。

その結果、サイバー攻撃は成功し続けている。欧州サイバーセキュリティ機関（ENISA）の最近の調査(2)では、セキュリティの専門家たちが、特に欧州連合（EU）の企業や当局が過去12カ月間にサイバー攻撃の標的になっていることを明らかにしている。

EUおよび全世界での発生件数（2023年7月～2024年6月）

An analysis of individual sectors reveals that the public sector is particularly hard hit, accounting for 19% of attacks, followed by the transport sector (11%) and banking and finance (9%). This is not surprising—many still remember the high-profile cyberattacks targeting the German Bundestag, municipalities, university hospitals, Dutch law enforcement, and Spanish citizens and authorities.^(3-8)

影響を受けるセクター - 公共部門が最も影響を受ける！（2023年7月～2024年6月）

サイバー脅威をカテゴリー別に分類すると、主にデータベースに対する直接の脅威は45%で、そのうち19%がデータ侵害、26%がランサムウェア攻撃である。 ⁽²⁾.

脅威のタイプ別分析

Under Article 32 of the GDPR⁽⁹⁾ (Security of Processing) the following is required: “…the controller and the processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk.”

Specifically it highlights, “the pseudonymization and encryption of personal data“as an effective measure. 

Additionally, the German Federal Office for Information Security (BSI) also recommends encryption as a key strategy to minimize the risk of IT operations in its BSI Standards⁽¹⁰⁾ 200-1 to 200-4.

Under Article 33 of the GDPR⁽⁹⁾ (Notification of a personal data breach to the supervisory authority), companies are required to notify a personal data breach to the supervisory authority within 72 hours of becoming aware of the breach. The data controller must notify the relevant supervisory authority in accordance with Article 55 unless the break is unlikely to risk individuals’ rights. If the notification is delayed beyond 72 hours, an explanation for the delay must be provided.

 明確なガイドラインがあるにもかかわらず、ITの世界ではGDPRの報告要件の正しい適用に関して不確実性が残っている。

To clarify this, the European Data Protection Board (EDPB) has developed guidelines⁽¹¹⁾, including case studies.

In “CASE No. 01: Ransomware with proper backup and without exfiltration,” the following scenario is described:

 「ある小さな製造会社のコンピューター・システムがランサムウェア攻撃にさらされ、システムに保存されていたデータが暗号化された。データ管理者は静止時の暗号化を使用していたため、ランサムウェアによってアクセスされたデータはすべて、最先端の暗号化アルゴリズムを使用して暗号化された形で保存されていた。つまり、攻撃者は復号化キーにアクセスすることも、それを間接的に使用することもできませんでした。結果として、攻撃者は暗号化された個人データにしかアクセスできなかった。"

 必要な措置は、ガイドラインに掲載されている表に記載されている：

必要な措置は以下のように正当化される：

「この例では、攻撃者は個人データにアクセスすることができ、暗号化された個人データを含む暗号文の機密性が損なわれた。しかし、流出した可能性のあるデータは、少なくとも当分の間は、犯人によって読み取られたり使用されたりすることはない。データ管理者が使用した暗号化技術は、最先端の技術に適合している。復号化キーは漏洩しておらず、おそらく他の手段で解読することもできない。その結果、自然人の権利と自由に対する機密保持のリスクは、暗号化されたデータが将来的に解読可能になるような暗号解読の進歩がない限り、最小限に抑えられる。"

 このため、同社は当局や被害を受けた個人への報告義務がなかった。

ITセキュリティ対策を実施するためのコストと、評判、売上、顧客の信頼を失う可能性を比較すれば、積極的な投資のメリットはすぐに明らかになる。

 オンライン・プラットフォームやソーシャルメディアを通じて瞬時にニュースが拡散する今日のハイパーコネクテッド・ワールドにおいて、組織はサイバー攻撃による長期的なダメージを過小評価してはならない。

To mitigate risks, Software AG strongly recommends that its customers implement encryption⁽¹²⁾ and auditing⁽¹²⁾ for our Adabas databases to keep IT risks at a minimum. Both measures complement each other and form the optimal technology mix to protect against attacks and unwanted internal and external data leaks.

_{(1) https://www.gartner.com/reviews/market/intrusion-prevention-systems
(2) https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
(3) https://www.auswaertiges-amt.de/en/newsroom/news/hacker-attack-bundestag-2345580
(4) https://www.dw.com/en/germany-cybercrime-by-foreign-actors-rose-by-28-in-2023/a-69065980
(5) https://www.heise.de/en/news/After-cyber-attack-Suedwestfalen-IT-wants-to-reform-itself-profoundly-10188167.html
(6) https://www.bbc.com/news/technology-54204356
(7) https://www.dutchnews.nl/2024/09/police-leak-leaves-data-of-62000-officers-in-hands-of-hackers/
(8) https://www.statista.com/topics/7011/cyber-crime-in-spain/#topicOverview
(9) https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
(10) https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html
(11) https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en
(12) https://www.softwareag.com/app/uploads/2025/08/ebook-adabas-maximize-security-en.pdf.sagdownload.inline.1669044425901.pdf}

詳細はこちら