POQA magazinePOQAがお届けするITお役立ち情報
もし、ご自宅に空き巣が入ったら、皆さんはどうなさいますか?
もちろん、速やかに110番をするでしょう。
では、企業がサイバー攻撃を受けてしまったら…どこに何を報告しなければいけないか、把握していますか?
今回は、「サイバー攻撃を受けた後、対外的に情報を公開すること」という点に注目しました。
なぜ外部に状況を伝えなければいけないのか?
被害を受けた情報を外部に伝えることに、ためらいを感じる方も多いのではないでしょうか。
それは、「企業がサイバー攻撃の被害を受けた」という”被害者”としての側面だけでなく、「個人情報を漏洩“させた”のではないか」「安全管理が不十分だったのではないか」と、社会から”加害者”として評価されることを恐れてのことだと考えます。
そうした懸念がある中でも、攻撃を受けた事実を外部に伝えるべき4つの理由があります。
・情報の非対称性を補い、全容を解明するため
サイバー攻撃の被害を受けた場合、対応の中には、「今後同様の攻撃を受けた場合に防ぐための対策を立てる」が含まれます。
当然その対策活動の中には、今回うけた被害の調査・分析が含まれますが、自分の被害現場を調べるだけでは、調査・分析が十分でない場合があります。
通常、サイバー攻撃を行う場合、攻撃者は攻撃の発覚や攻撃者の情報につながることを恐れて、監視に残らない方法での進入や、痕跡の消去を行います。
そのため、自分自身の持っている情報だけでは、全容解明には情報が不足してしまう、ということがあり得るのです。
自分自身の情報を開示したうえで、類似する情報を集め、攻撃手法やを特定する助けにすることが必要でしょう。
・レピュテーションリスク回避のため
仮に攻撃を受けたことを、被害企業が発表しなかったとしても、今後何らかの理由でその事実が報道されたり、SNSで拡散される可能性は0ではありません。
その場合、情報漏洩から実質的に発生する損害の他に、「情報漏洩を隠蔽していた」という悪評を受けかねません。
仮に情報が漏洩していなかったとしても、”予防的に”被害リリースを出すことは、意味があるといえます。
・社会的意義
現代のサイバー攻撃の手法は、日々複雑化・多様化しているため、それらを、単一の組織ですべて対策することは不可能です。
サイバー攻撃に対抗するためには、社会全体で、どのようなサイバー攻撃が存在するのかの情報を共有し、そのうえで、被害低減のための対策を策定し、そして社会全体が対策する、というサイクルを動かさなければならないのです。
・公表の義務
情報が漏洩・滅失・棄損しており、その中に「個人情報・データ」が含まれている場合、個人情報保護委員会への届け出が、個人情報保護法によって義務化されています。
「共有」と「公表」を切り分ける
では次に、実際に攻撃を受けた後、その情報をどのように伝達すべきかについて、整理していきます。
総務省は、サイバー攻撃を受けた事実の伝達は、情報の「共有」と「公表」に分かれる、としています。
これは、「伝えるべき目標」「伝えるべき相手」と「伝えるべき内容」などの項目から分けることができます。
自組織がサイバー攻撃を受け、現在進行形でデータが破壊されていると仮定します。
この時、別組織と何らかのツールを共有して利用していた場合、そのツールを通して、別組織に攻撃が拡散されてしまう可能性があります。
他方で、こうした攻撃を受けた事実を、行政機関に報告することも必要です。
この場合、前者の別組織への報告は、被害の拡大を防ぐために、一刻も早く行わなければなりません。
一方で、行政機関への報告は、単純にサイバー攻撃を受けたことをノウハウとして周知することを目的としているのであれば、前者と比較して急ぐことではありません。
むしろ早期の段階では、情報が整理されておらず、ノウハウとして質するには、十分な状況ではないでしょう。
つまり、「今回の攻撃に関して被害拡大を防ぐために行う情報共有すること」と、「今回の被害の結果報告や、今後別のタイミングで攻撃があった場合に備えて情報を公表すること」は全く別のタイミングで行わなければならないことだ、ということです。
これらを混同させてしまった場合、速やかに共有すべき情報が共有されず、被害を拡大させることにつながりかねません。
そのため、あらかじめ、被害状況を想定したうえで、「共有」と「公表」のそれぞれのタイミングにおいて、「誰に」「どのような情報を」共有するのかを策定しておく必要があるのです。
つづく
現代のサイバー攻撃は、地震などの自然災害と同等のレベルで、対策をしておかなければならない項目となっています。
企業はあらかじめ被害発生時にどのような行動をとるのかを策定しなければならず、できることならば防災訓練と同じように、個々のメンバーが、自分がどう行動すべきかを把握しておくことが理想でしょう。
次の記事では、攻撃被害からの時系列に沿って、「共有」と「公表」のタイミングを解説してまいります。
