Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > Rockstar GamesのSnowflakeインシデントが示すサードパーティデータセキュリティへの教訓

Rockstar GamesのSnowflakeインシデントが示すサードパーティデータセキュリティへの教訓

by Patrick Spencer updated 5月 20, 2026 第三者リスク
Reading Time: 8 minutes

Grok APIから有効な応答が受信されませんでした。

このシナリオの展開を考えてみましょう。あるゲーム会社がクラウド分析ベンダーにSnowflakeデータウェアハウスへのアクセスを許可します。これはクラウドコストの最適化を目的とした日常的な連携です。ベンダーの認証情報は権限の高いサービスアカウントに保存されており、まさに攻撃者が狙う持続的かつ高権限のアクセスです。

2026年4月、ランサムウェアグループShinyHuntersはRockstar GamesのSnowflake環境への侵入を発表しました。Rockstar自体を直接攻撃したのではなく、Anandotというサードパーティのクラウドコスト監視プロバイダーを経由して侵入しました。Rockstarはこのインシデントを認め、契約書、財務記録、市場計画などの企業データが流出したと報告しました。初期報告によると、約7,860万件の記録が関与していたとされています。

これはゲーム会社のセキュリティが甘かったという話ではありません。組織がクラウド環境を管理するために利用するシステムが、攻撃者にとってデータを奪うための経路となり得るという話です。そして、サプライチェーンリスクデータが示す通り、これは例外的な出来事ではなく、パターン化された現象です。

5つの重要なポイント

1. コスト監視ベンダーが侵害の経路となった

ShinyHuntersはクラウド分析プロバイダーであるAnandotを通じてRockstar GamesのSnowflake環境にアクセスし、契約書、財務書類、Go-to-Market計画などを含む推定7,860万件の企業記録が流出しました。根本原因はRockstar側の失敗ではなく、ベンダーの持続的かつ高権限のサービスアカウント認証情報が攻撃者の足掛かりとなったことです。契約書で止まってしまうサードパーティリスク管理プログラムでは、このリスクを全く把握できませんでした。

2. サードパーティ侵害リスクはシステミックであり、孤立したものではない

2025年には、136件の確認されたサードパーティ侵害イベントが発生し、719社の被害企業名が公表され、さらに推定26,000社が追加で影響を受けましたが、その多くは公に特定されていません。公表までの中央値は73日でした。組織は自社インフラほど厳格に監視していないベンダーとの関係を通じて、日常的にリスクに晒されています。

3. クラウドデータウェアハウスが新たな高価値ターゲットに

2026年Thales Data Threat Reportによると、クラウドストレージ(35%)、SaaSアプリケーション(34%)、クラウド管理インフラ(32%)が3年連続で上位3つの攻撃対象となっています。自社データの保存場所を完全に把握している組織はわずか33%であり、分析プラットフォームが大きな死角となっています。

4. ベンダーリスクスコアは誤った安心感を生む

20万社を監視した結果、平均サイバーグレードは100点中90.27点(A評価)でしたが、53.77%の組織で少なくとも1件の重大な脆弱性が存在していました。静的なベンダーリスク評価では、認証情報のローテーション失敗、権限の肥大化、リアルタイムでの認証情報流出など、動的なリスクを見逃します。

5. 大企業の65%がサプライチェーン脆弱性を最大のレジリエンス課題と認識

この割合は前年の54%から上昇しており、WEF 2026 Global Cybersecurity Outlookによると、拡張されたサプライチェーンの可視性不足がサプライチェーンリスクの中で最も高く評価されており、次いで継承リスクと集中リスクが続きます。Rockstar/Anandotのインシデントはこの3つすべてに該当します。

サードパーティ侵害の全体像:136件のイベント、26,000社の沈黙する被害者

2026 Black Kite Third-Party Breach Reportでは、2025年に136件の確認されたサードパーティ侵害イベントが記録され、719社の被害企業名が公表されました。しかし実際の被害企業数はさらに多く、推定26,000社が公表されることなく影響を受けています。侵害から公表までの中央値は73日、2か月以上もの間、リスクが表面化しないままでした。

集中リスクは顕著です。Black Kiteが監視した上位50の共有ベンダーのうち、70%がCISA KEVリストの脆弱性を抱え、84%がCVSS 8以上の重大な脆弱性を有し、62%がスティーラーログに企業認証情報が流出し、80%がフィッシングのリスクを示していました。これらは周辺的なベンダーではなく、何百・何千もの組織が同時に利用している主要プロバイダーです。

これらのうち1社でも侵害されれば、その影響範囲は甚大です。Snowflake環境のように、企業データが分析・報告・最適化のために大規模に集約される場所は、1つのベンダー認証情報が侵害されるだけで数百万件の記録が流出する高価値ターゲットです。流出前にそのアクセスを検知するために必要な監査証跡は、多くの環境で存在していません。

なぜクラウドデータウェアハウスはあらゆるリスクの交差点にあるのか

Snowflake、BigQuery、Redshiftのようなクラウドデータプラットフォームは、エンタープライズデータ環境の中でも特に危険なポジションにあります。データを一元化し、アクセスしやすくする設計が、正規の分析ベンダーだけでなく、侵害を狙う脅威アクターにも魅力的なターゲットとなっています。

2026 Thales Data Threat Reportでもその範囲が確認されています。クラウドストレージ(35%)、SaaSアプリケーション(34%)、クラウド管理インフラ(32%)が3年連続で上位3つの攻撃対象となっています。自社データの保存場所を完全に把握している組織はわずか33%、すべてのデータを分類できているのは39%にとどまります。

このデータ分類のギャップは重大です。3分の2の組織が機密データの所在を把握できていない場合、ベンダー認証情報が侵害された際に何にアクセスされるかを把握できません。Rockstarのケースでは、流出したのは顧客のPIIではなく、契約書、財務書類、Go-to-Market戦略などの企業インテリジェンスでした。これは、誰も明示的に保存を決定しなくても分析プラットフォームに蓄積されていくデータです。

CrowdStrike 2026 Global Threat Reportは攻撃者の視点を補強しています。SaaSプラットフォームは、機密性の高い顧客・従業員・業務データを集約しているにもかかわらず、エンドポイントやコアインフラに比べて監視が不十分なため、主要な標的となっています。eCrimeや国家関与のアクターは、クラウドやSaaS環境で規制対象データや高価値のビジネスインテリジェンスを積極的に探し出しています。

ベンダーリスクスコアの誤った安心感

Black Kiteレポートで最も不安を感じさせる発見の1つは、従来のベンダーリスク評価が侵害の予測にほとんど役立っていないことです。約20万社を監視した結果、平均サイバーリスクグレードは100点中90.27点(A評価)でしたが、そのうち53.77%の組織で少なくとも1件の重大な脆弱性が存在していました。

レポートは、高評価と脆弱な基盤が共存し得ることを明確に指摘しています。静的なアンケート、年次評価、ベンダーの証明書類は一時点の状況しか捉えられず、ベンダーがアクセス管理や認証情報のローテーション、自社サプライチェーン接続の監視をどのように継続的に行っているかという動的な現実を見逃します。

これはSnowflakeのシナリオに直結します。Anandotのようなベンダーは、標準的なセキュリティアンケートで高評価を得るかもしれません。データ転送時の暗号化、脆弱性スキャンの実施、インシデント対応計画の策定などです。しかしアンケートでは、Snowflakeサービスアカウントが最小権限で運用されているか、APIキーが定期的にローテーションされているか、認証情報管理が標的型の認証情報収集攻撃に耐えうるかまでは問われません。

Kiteworks 2026 Data Security, Compliance and Risk Forecast Reportによると、統合されたデータ交換と証拠レベルの監査証跡を持つ組織は39%にとどまります。34%は部分的なアプローチでギャップがあり、27%はチャネルごと、あるいは最小限のカバレッジしかありません。ベンダーデータフローが統合ガバナンスの外で運用されている場合、異常なアクセスパターンを検知するためのログ自体が存在しません。

サプライチェーンリスクは経営層の課題に

World Economic Forum 2026 Global Cybersecurity Outlookはマクロな視点を提供しています。収益規模で見た大企業の65%が、サードパーティおよびサプライチェーンの脆弱性をサイバーレジリエンス上の最大の課題と認識しており、前年の54%から増加しています。

WEFデータによると、サプライチェーンのサイバーリスク上位は、拡張サプライチェーンの可視性不足が最も高く、次いで継承リスク(サードパーティのソフトウェア・ハードウェア・サービスの完全性を保証できないリスク)、集中リスク(重要なサードパーティへの過度な依存)が続きます。Rockstar/Anandotのインシデントはこれら3つすべてに該当します。

財務的な影響も大きいです。DTEX/Ponemon 2026 Insider Threat Reportによると、内部脅威(不注意なデータ取扱いや、それによって生じるアクセス経路を含む)は、組織に年間平均1,950万ドルのコストをもたらしています。ベンダーのサービスアカウントが事実上の内部者として持続的かつ高権限のアクセスを持つ場合、同様のコスト構造が適用されます。

同時に規制圧力も高まっています。DLA Piperの調査によるGDPR執行データでは、2025年に12億ユーロの罰金が科され、1日平均443件の侵害通知があり、前年比22%増加しています。DPAは、ベンダー監督の不備や技術的コントロールの弱さを、罰金計算時の加重要因として扱うのが一般的になっています。サードパーティ侵害リスクとデータコンプライアンス義務が交差するところで、規制リスクが集中しています。

Kiteworksのアプローチ:アーキテクチャレベルでのデータ交換ガバナンス

Rockstar/Anandotのインシデントは構造的な問題を示しています。機密データがチャネルごとに分断されたシステムを通じてサードパーティに流れる場合、統合ガバナンス層がなければ、セキュリティチームは異常なアクセスを検知したり、最小権限ポリシーを強制したり、規制当局や保険会社が求める監査証拠を作成することができません。

Kiteworks Private Data Networkは、安全なデータ交換の制御プレーンとして機能します。セキュアメールセキュアなファイル共有SFTPマネージドファイル転送、API、Webフォーム、AI連携など、すべてのチャネルを1つのポリシーエンジンと統合監査ログで管理します。

特にベンダー・サードパーティリスクに対して、このアーキテクチャは3つの変革をもたらします。第一に、外部とのすべてのデータ交換が同じガバナンスフレームワークを通じて行われ、チャネルを問わず一貫したアクセス制御を強制します。API連携でデータにアクセスするベンダーも、SFTPやセキュアメールでファイルを受け取るベンダーも、同じポリシーエンジンが適用されます。第二に、統合監査ログがすべてのデータ交換アクティビティをリアルタイムで記録し、スロットリングなしで可視化するため、ベンダー認証情報の侵害が数週間見逃されるような可視性のギャップを排除します。第三に、Kiteworksのシングルテナントアーキテクチャと多層防御(組み込みファイアウォール、WAF、二重暗号化、ゼロトラストアクセス制御)により、プラットフォーム自体がサプライチェーンの脆弱性とならないようにしています。

Snowflakeのシナリオに直結するポイントは、機密データが蓄積されるすべてのプラットフォームやベンダー連携に一貫して適用できるデータ層ガバナンスが必要であり、クラウド分析層を完全に見逃してしまうエンドポイント保護だけでは不十分だということです。

次のベンダーが侵害経路になる前にセキュリティリーダーが取るべき行動

まず、すべてのサードパーティによるクラウドデータウェアハウスや分析プラットフォームへのアクセスを監査してください。Snowflake、BigQuery、Redshiftなどにベンダーがアクセスするためのサービスアカウント、APIキー、認証情報をすべて洗い出しましょう。Black Kiteレポートでは、上位共有ベンダーの62%がスティーラーログに企業認証情報を流出させていました。権限を監査し、最小権限アクセス制御を徹底し、契約更新時だけでなくすべてのベンダーサービスアカウントに異常検知を実装してください。

次に、すべてのベンダー連携に対して最小権限かつ期間限定のアクセスを強制してください。コスト監視ベンダーがデータウェアハウス全体への持続的な読み取り権限を持つ必要はありません。権限は特定のデータセットに限定し、認証情報は短いサイクルでローテーションし、通常の運用パターン外のアクセスには再認証を要求しましょう。

三番目に、すべてのデータ交換チャネルに統合監査ログを導入してください。エンドポイントやクラウドワークロードだけでなく、すべてのチャネルが対象です。Kiteworks Forecastによると、61%の組織が分断されたデータ交換インフラ上に証拠レベルの監査証跡を構築しようとしています。分断されたログは分断された検知しか生みません。統合しましょう。

四番目に、時点評価だけのベンダー評価に頼るのをやめましょう。Black Kiteのデータは、90点以上のリスクスコアでも半数以上の組織で重大な脆弱性が共存していることを示しています。認証情報流出、脆弱性ステータス、アクセスパターンの異常など、ベンダーのセキュリティ状況を継続的に監視する体制に移行してください。

五番目に、クラウド分析プラットフォームを規制対象データ環境として扱いましょう。Snowflakeに蓄積されるデータは、報告や最適化のためのものであっても、組織が主要システムで厳重に保護している契約書、財務記録、戦略文書などと同じです。分析層にも同じ暗号化、アクセス制御、監視基準を適用しましょう。

GDPR罰金の増加、侵害通知期間の短縮、DPAによるベンダー監督不備の加重要因化により、ガバナンスのコストよりも無策のコストの方が急速に高まっています。

サードパーティリスク管理の詳細については、カスタムデモを今すぐご予約ください

よくあるご質問

Snowflake環境にアクセスできるすべてのベンダー(サービスアカウントやAPIキーを含む)を棚卸ししてください。2026年Black Kiteレポートでは、上位共有ベンダーの62%がスティーラーログに企業認証情報を流出させていました。権限を監査し、最小権限アクセス制御を徹底し、契約更新時だけでなくすべてのベンダーサービスアカウントに異常検知を実装しましょう。

必ずしもそうとは限りません。2026年Black Kiteレポートによると、90点以上の評価を受けた組織の53.77%で依然として重大な脆弱性が存在していました。静的な評価では、認証情報ローテーションの失敗、権限の肥大化、スティーラーログでのリアルタイム流出など動的なリスクを見逃します。定期評価に加え、継続的なベンダーリスク監視に移行しましょう。

ベンダー監督の実効性と監査対応可能な証拠の整備を優先してください。GDPRのDPAはベンダー管理不備を罰金加重要因として扱います。統合監査ログを導入し、契約上のセキュリティ要件を実際に検証し、ベンダー発のインシデントも明示的にカバーする侵害通知フローを整備しましょう。

ツールが分断されていると可視性も分断されます。Kiteworks 2026 Forecastによると、統合されたデータ交換と証拠レベルの監査証跡を持つ組織は39%にとどまります。Kiteworks Private Data Networkは、メール、SFTP、API、ファイル共有に一貫したポリシーとログを適用するため、チャネルを問わず異常なベンダーアクセスが検知され、証拠も即時取得できます。

クラウドデータウェアハウスは分析のために大量の機密データを集約し、通常エンドポイントよりも監視が不十分です。2026年Thales Data Threat Reportでは、クラウドストレージ(35%)、SaaSアプリ(34%)、クラウド管理(32%)が上位3つの攻撃対象となっています。データの分類・可視化を完全に行えている組織は33%にとどまり、分析層がエンドポイント制御ではカバーできない大きな死角となっています。

追加リソース 

  • ブログ記事
    サードパーティベンダー・請負業者向けセキュアファイル転送ワークフロー設計方法
  • ブログ記事
    CISOのためのベンダーリスク管理の重要性
  • ブログ記事
    外部パートナーとの連携時に知的財産を守る方法
  • ブログ記事
    サプライチェーンセキュリティとリスク管理で脅威に立ち向かう
  • ブログ記事
    パートナーのデータ侵害:最も弱いパートナーが組織の強さを決める

Grok APIから有効な応答が受信されませんでした。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks