情報漏えいの被害企業が取るべき行動は? ~「ガイダンス」も参照し情報共有と開示を~

情報漏えいなどの大きなインシデントが起きた際、被害を受けた組織からの情報公開に関して、いろいろな意見や推測が飛び交います。特に発表を行った直後は、公開時期の遅さと“セキュリティ上の理由で詳細は非公開”とする対応に、批判的な声が集まることも少なくありません。

詳細な情報が早めに開示されれば、他の組織は装備を点検して予防策を講ずることができます。しかし、どのような情報をどのタイミングで出すかは、いろいろな事情が関係し、やり方によっては攻撃者を利することになるため、一概により早く、より多くの情報を開示すべきとは言えません。今回は事故後の対応について、改めて考えてみましょう。

サイバー攻撃による被害が判明した際、セキュリティの技術者や運用担当者は、情報開示は他社の対策強化につながると同時に、外部からの情報提供が期待できるため、より多くの情報を積極的に出したいと考える傾向にあります。一方、経営層はステイクホルダーへの対応と社会的な影響も配慮するため、情報公開には慎重な姿勢を取るでしょう。

情報公開が淡々とは進まない理由は、例えば、“不正侵入を受けて顧客情報が流出”という事実があった場合、情報を公開する目的によって、開示する情報の種類は違ってくるからです。伝える相手によっても、必要とされる情報の内容は異なるでしょう。

“社会全体のセキュリティ向上のため、被害企業は速やかに情報を公開すべき”という総論、一般論に対しては社会的合意があるとしても、各論は個別対応にならざるを得ないため、ほとんどの組織では、多くの労力と時間を費やしてしまうのが実情のようです。

攻撃による被害が判明した直後、組織では被害の拡大防止とシステム改修に追われると同時に、どの情報を、どの部分まで、どこに向けて、いつ開示するべきかという問題に直面します。この段階では、一律的な行動は難しいのですが、道標の一つとして、内閣サイバーセキュリティセンターと警察庁、総務省、経済産業省の連名で公開されたガイダンスが存在します。

この文書を元に、一般企業が行うべき情報公開のポイントを整理してみましょう。

ここまでは、攻撃被害の公開を“情報公開”や“情報開示”などの言葉で表してきましたが、同ガイダンスではタイトルが示すように「情報の共有」と被害の「公表」に分けて定義しています。

情報共有の目的は、被害を受けた組織が全容を解明して対策を強化し、他組織への攻撃の未然防止、二次被害の拡大阻止につなげることです。情報共有の対象になる組織は、セキュリティ企業や業界団体、関係会社などに限られ、一般的な意味での公表は伴いません。

被害状況の公表は、個人情報保護法などの法令が定める開示(報告)と、被害企業の判断で行う情報の公表に大別されます。企業が自主的に行う情報公開により、サービス停止などの際に必要な対外的な説明責任を果たすことに加えて、同種の攻撃に対する注意喚起にもつながります。

情報共有と公表は関連も深いため、実務では二つの作業は切り離せません。

インシデントの調査と対応を進めていく中で、それぞれを実行する計画を立てることになるでしょう。ここで言う調査ですが、具体的な作業項目として以下が挙げられます。

被害の公表は、まず法令に沿った対応、個人情報保護法の場合、概ね3~5日以内の個人情報保護委員会への報告と、被害者本人への速やかな通知を行うこと。社会への公表はケースバイケースですが、関係者で協議して情報の内容と公表時期を判断します。

情報共有と公表には、セキュリティと情報システム、法令や企業運営に関する一定の知見も必要です。ハードルが高い作業にも思えますが、同ガイダンスでは“なぜ情報共有が必要なのですか?”“公表の目的は何ですか?”“警察への通報・相談は、行った方が良いのでしょうか?”といった切り口から、Q&A形式も交えて必要な基礎知識を与えてくれます。

内容的にも「情報共有と公表」の視点から、ポイントを明示した公式文書は国内初とされています。153ページのボリュームですが、解説とFAQ、ケーススタディ、チェックリストを中心に読みやすく整理されていますので、一度目を通してみてください。

個人情報の漏えいが毎日のように伝えられますが、企業が扱う機密情報は個人情報だけではありません。技術開発に伴うデータ、特許、財務、給与明細、企画書、会議議事録など、日々の活動が公開できない情報を産み出しています。

特にランサムウェアが蔓延して以来、攻撃者の標的は、その組織にとって価値のある情報を持つすべての企業・団体です。安全対策は実施していても、誤操作、情報の誤配信、誤廃棄などのヒューマンエラーは、各種調査でも漏えい原因の上位を占めます。人の心のちょっとした隙を付いて、ログインパスワードなどの情報を窃取するソーシャル・エンジニアリングも無くなりません。

あらゆる組織は人的ミスや内部不正による情報漏えいをゼロにはできず、ランサムウェアや不正侵入などのリスクも日常化している現在、平時から情報共有と公表の考え方と実践方法は知っておくべきでしょう。