開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2014/04/25

サイバー攻撃被害発生!公表すべき?せざるべき? 求められるのは「ハンドル」する力

連載:サイバーセキュリティ最前線

とあるアンケート結果において、実に57%もの企業がセキュリティ侵害事件に際してその被害実態を「自発的に公表しない」と回答しました。一市民としては、特に自分が被害者であれば被害実態を明らかにして欲しいという気持ちはあるものの、企業としてはそう簡単にはいかない “何か” があるのかもしれません。マルウェア・Webサイト改ざん・DDoSなどサイバー攻撃の脅威が著しく、自社がその被害を受けないとは言い切る方が難しい昨今、いざという時に際しての “姿勢” を考えてみる必要がありそうです。

NRIセキュアテクノロジーズ 高梨 素良

NRIセキュアテクノロジーズ 高梨 素良

早稲田大学大学院国際通信研究科卒業後、2007年に野村総合研究所に入社。NRIセキュアテクノロジーズに出向し、システムのセキュリティをチェックする「セキュリティ診断」サービスや、最新サイバーセキュリティ情報の調査・研究・情報提供を通じて数多くのプロジェクトに参画。

数字で見る各社のサイバー攻撃への「姿勢」

 2014年3月にArbor Networks社とエコノミストの調査会社(EIU:Economist Intelligence Unit)によるセキュリティ侵害に関する企業アンケート調査結果が発表されました(英語レポートはこちら。ダウンロードするにはメールアドレスなどの情報の入力が必要です)。アンケート対象はグローバルで360名ものC-LEVELメンバ (CEO、CIOなど) ・経営層を対象としており、経営判断としてのセキュリティを測る大変興味深いレポートです。

 本レポートからいくつかのデータを引用してみましょう。

  1. 77%がサイバー攻撃の被害を経験している。
  2. 57%は被害情報を公開義務がない限り自発的に公表しない。
  3. 35%は被害情報を他社と共有しない。
  4. 60%はインシデントレスポンスチームの設立を検討している。
  5. 3分の2が「セキュリティ侵害へ上手く対処することにより、企業の顧客信用を一層強化することができる」と考えている。

連載一覧
 5.については時期的に米小売Target社の大規模情報漏えい事件があったころのアンケートですので、多少のバイアスは否めませんが、とにかくサイバー攻撃対策へのモチベーションが高まっており、対策を進めつつも、その中で企業はいくつかの課題を抱えているように見受けられます。

 特に興味深いのは2.のデータ、いわゆるネガティブコミュニケーションについてで、SANSのPescatore氏は、「残りの43%も株主への説明義務を果たすためにそうしているに過ぎない。ビジネス環境では不正は常日頃発生しているのだから、そのすべてを開示する必要は無いと考えるものだ」と冷静な分析をしています。

 読者の方も直観的にお分かりいただけるものかと思いますが、だれしもネガティブな事柄は発表したがらないものです。

被害情報公表の意味

 さて、先のネガティブコミュニケーション、特にサイバー攻撃の被害情報の公表をどうすべきか?についてですが、一般論としての結論を先に述べれば、以下の2つの観点 (公益性) から「情報を公開すべき」と言えます。

1.顧客が自身の被害実態を確認したり、自衛手段を講じたりすることができる。
例:マルウェア感染が疑われるならばウイルス対策ソフトによるスキャンを実施する。

2.他社が被害の原因を把握し、自社への影響を把握し、予防対策を講じることができる。
例:特定ソフトウェアの脆弱性を突いた攻撃と判明した場合、パッチを適用する。

 これらの有益性ついては今日では大分社会的に認知が浸透してきていると言えるのではないでしょうか。

 では逆に「公開しない」場合はどうでしょうか?2014年1月に発生した某社コーポレイトサイトにおけるWebサイト改ざん被害事例では、その企業はWebサイト改ざん認知後、内々にて対策を進めていましたが、対策完了の1週間後に第三者にその被害事実を指摘され、被害実態を公表することとなりました。

 つまり、対外的には「被害情報を秘匿するつもりであったが、指摘を受けたので渋々情報公開した」と見られてしまった格好となります。メディア・SNSでは、その “不誠実さ” について大いに批判が噴き出ました。

 ですのでこれを踏まえれば、原理原則通りに「被害情報は公開しましょう」というのが、セキュリティ侵害発生時のコミュニケーションにおける一つの解となります。しかしながら、セキュリティ・コンサルタントとしての筆者は、このテーマに関しては非常に葛藤を覚えます。

 その理由を語るうえで、もう1つのセキュリティ侵害事例、2013年3月の某社ECサイトのWeb改ざん事件について触れておきたいと思います。

 この企業は被害認知後に即座にその旨を発表しました。この際、被害内容として漏えいしたカード情報を “最大” 1万件超と表現しました。その後同社の調査の結果、被害実態は漏えい件数にして2000件程度、かつ不正利用を受けた顧客は20名程度に留まるとの続報を発しました。

 非常に “誠実” な対応だと思います。被害認知直後は実態の全容が掴めていないため、ワーストケースとして被害システムの保有する情報すべてが被害に遭った可能性があるという視座のもと、”最大” ○○件という表現を行ったと見られます。

 しかし筆者が観察した範囲では、どうしても初報の1万という数値が一人歩きしてしまい、「大事件を起こした企業だ」という印象ばかりが出回ってしまったように見受けられました。

 また、被害内容に「セキュリティコード」 (※クレジットカードの裏面に記載されている数字 3-4 桁の秘密情報) が含まれているため、本来保存が許されていない同情報を保存していたのではないか?という風評被害 (※同情報を転送されるように改ざん被害を受けていた結果であり、同社では保存はしていなかった) も相まったように思えます。

 以上から、被害情報の公表について、大きなデメリットがあることも分かります。このような背景もあることから、筆者は冒頭のアンケートのデータで公表是非の意見が分かれたのを見た時、それも宜なるかなと感じたのです。

【次ページ】セキュリティ業界の専門職「インシデントハンドラー」とは?

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!