漏えい発生時に上がる声
情報漏えいなどの大きなインシデントが起きた際、被害を受けた組織からの情報公開に関して、いろいろな意見や推測が飛び交います。特に発表を行った直後は、公開時期の遅さと“セキュリティ上の理由で詳細は非公開”とする対応に、批判的な声が集まることも少なくありません。
詳細な情報が早めに開示されれば、他の組織は装備を点検して予防策を講ずることができます。しかし、どのような情報をどのタイミングで出すかは、いろいろな事情が関係し、やり方によっては攻撃者を利することになるため、一概により早く、より多くの情報を開示すべきとは言えません。今回は事故後の対応について、改めて考えてみましょう。
原則は迅速な情報公開
サイバー攻撃による被害が判明した際、セキュリティの技術者や運用担当者は、情報開示は他社の対策強化につながると同時に、外部からの情報提供が期待できるため、より多くの情報を積極的に出したいと考える傾向にあります。一方、経営層はステイクホルダーへの対応と社会的な影響も配慮するため、情報公開には慎重な姿勢を取るでしょう。
情報公開が淡々とは進まない理由は、例えば、“不正侵入を受けて顧客情報が流出”という事実があった場合、情報を公開する目的によって、開示する情報の種類は違ってくるからです。伝える相手によっても、必要とされる情報の内容は異なるでしょう。
“社会全体のセキュリティ向上のため、被害企業は速やかに情報を公開すべき”という総論、一般論に対しては社会的合意があるとしても、各論は個別対応にならざるを得ないため、ほとんどの組織では、多くの労力と時間を費やしてしまうのが実情のようです。
公的ガイダンスの活用を
攻撃による被害が判明した直後、組織では被害の拡大防止とシステム改修に追われると同時に、どの情報を、どの部分まで、どこに向けて、いつ開示するべきかという問題に直面します。この段階では、一律的な行動は難しいのですが、道標の一つとして、内閣サイバーセキュリティセンターと警察庁、総務省、経済産業省の連名で公開されたガイダンスが存在します。
「サイバー攻撃被害に係わる情報の共有・公表ガイダンス」(2023年3月公開)
この文書を元に、一般企業が行うべき情報公開のポイントを整理してみましょう。
起点は“情報共有と公表”
ここまでは、攻撃被害の公開を“情報公開”や“情報開示”などの言葉で表してきましたが、同ガイダンスではタイトルが示すように「情報の共有」と被害の「公表」に分けて定義しています。
◇情報の共有
情報共有の目的は、被害を受けた組織が全容を解明して対策を強化し、他組織への攻撃の未然防止、二次被害の拡大阻止につなげることです。情報共有の対象になる組織は、セキュリティ企業や業界団体、関係会社などに限られ、一般的な意味での公表は伴いません。
情報共有の目的
出典: 「サイバー攻撃被害に係わる情報の共有・公表 ガイダンス」
サイバー攻撃被害に係わる情報の共有・公表 ガイダンス検討委員会
◇被害の公表
被害状況の公表は、個人情報保護法などの法令が定める開示(報告)と、被害企業の判断で行う情報の公表に大別されます。企業が自主的に行う情報公開により、サービス停止などの際に必要な対外的な説明責任を果たすことに加えて、同種の攻撃に対する注意喚起にもつながります。
出典:「サイバー攻撃被害に係わる情報の共有・公表 ガイダンス」
サイバー攻撃被害に係わる情報の共有・公表 ガイダンス検討委員会
優先事項は被害の調査と情報整理
情報共有と公表は関連も深いため、実務では二つの作業は切り離せません。
インシデントの調査と対応を進めていく中で、それぞれを実行する計画を立てることになるでしょう。ここで言う調査ですが、具体的な作業項目として以下が挙げられます。
-被害の概要調査-
攻撃を受けた組織名、部署名、業種業態
被害の内容:対象システムとデータの窃取、破壊、暗号化などの状況
技術的な要素:マルウェアの種別、不正侵入やフィッシングなどの攻撃手法、攻撃者、脆弱性の関連情報など
-開示時期の決定-
基本データが揃った段階で、情報共有と公表の各視点から、それぞれに適合する情報を適切な時期に開示します。
情報共有を目的とした行動では、マルウェアの種別と攻撃者、手口などの情報を、できる限り早いタイミングで関係機関に伝えます。
被害の公表は、まず法令に沿った対応、個人情報保護法の場合、概ね3~5日以内の個人情報保護委員会への報告と、被害者本人への速やかな通知を行うこと。社会への公表はケースバイケースですが、関係者で協議して情報の内容と公表時期を判断します。
被害情報を収集・整理する際のチェックリスト
出典:「サイバー攻撃被害に係わる情報の共有・公表 ガイダンス」
サイバー攻撃被害に係わる情報の共有・公表 ガイダンス検討委員会
ガイダンスはFAQ形式
情報共有と公表には、セキュリティと情報システム、法令や企業運営に関する一定の知見も必要です。ハードルが高い作業にも思えますが、同ガイダンスでは“なぜ情報共有が必要なのですか?”“公表の目的は何ですか?”“警察への通報・相談は、行った方が良いのでしょうか?”といった切り口から、Q&A形式も交えて必要な基礎知識を与えてくれます。
内容的にも「情報共有と公表」の視点から、ポイントを明示した公式文書は国内初とされています。153ページのボリュームですが、解説とFAQ、ケーススタディ、チェックリストを中心に読みやすく整理されていますので、一度目を通してみてください。
「サイバー攻撃被害に係わる情報の共有・公表ガイダンス」の目次の一部
出典:「サイバー攻撃被害に係わる情報の共有・公表 ガイダンス」
サイバー攻撃被害に係わる情報の共有・公表 ガイダンス検討委員会
漏えいをゼロにはできない環境下で
個人情報の漏えいが毎日のように伝えられますが、企業が扱う機密情報は個人情報だけではありません。技術開発に伴うデータ、特許、財務、給与明細、企画書、会議議事録など、日々の活動が公開できない情報を産み出しています。
特にランサムウェアが蔓延して以来、攻撃者の標的は、その組織にとって価値のある情報を持つすべての企業・団体です。安全対策は実施していても、誤操作、情報の誤配信、誤廃棄などのヒューマンエラーは、各種調査でも漏えい原因の上位を占めます。人の心のちょっとした隙を付いて、ログインパスワードなどの情報を窃取するソーシャル・エンジニアリングも無くなりません。
あらゆる組織は人的ミスや内部不正による情報漏えいをゼロにはできず、ランサムウェアや不正侵入などのリスクも日常化している現在、平時から情報共有と公表の考え方と実践方法は知っておくべきでしょう。
脅威情報の収集と分析で被害を防ぐ
インシデントへの対応に加えて、企業にとってより大切な要素は、シンプルですが“被害者にならないこと”。攻撃を受ける前に、サイバー空間に蔓延しているリスクに関する情報を迅速に集め、分析し、必要な措置を実践していくことです。
現在は、StealthMoleのような脅威インテリジェンスツールが浸透し、高い精度で脅威情報の収集と分析ができるようになってきました。一般企業がすぐにできる対策は、脅威情報を参照して自社のセキュリティ対策を点検する、かつ定期的な情報の収集と分析を行い、システムと管理体制を再検証することです。このループを日常業務に組込み、情報システムの安全を維持していきましょう。