多くの企業が被害情報の公開を最小限にとどめている(写真: masamasa2 / PIXTA)

当社サーバーが外部から不正アクセスを受け、個人情報の一部が外部に漏洩した可能性があることが判明しました――。


東洋経済Tech×サイバーセキュリティのトップページはこちら

こんな一文から始まるサイバー攻撃を受けた企業からのお詫び、お知らせを目にする機会が多くなった。ただ、多くの企業は被害情報の公開を最小限にとどめている。被害に遭ったにもかかわらず、世間では批判にさらされることも少なくないから当然ともいえるだろう。

しかし、「被害情報はできる限り詳しく公表したほうがよい」。こう話すSBテクノロジーのセキュリティリサーチャー辻伸弘氏に、企業がサイバー攻撃被害に遭った後に取るべき対応について聞いた。

被害情報を詳しく公表すると不利益になる?

セキュリティ事故の発生後、被害企業が詳細に情報を公開しない要因はいくつかある。例えば、どんな脆弱性が狙われたのかなどの事実関係を明らかにすることで、「修正プログラムが公開されていたのに実施していなかった」といったような批判をされかねない。

ランサムウェア被害の場合は、盗まれた情報がリークサイトに掲載されてしまうケースもあるため、ランサムウェアの種類などを具体的に出すことが情報の流出先の特定につながるリスクもある。いずれにしても、詳しい情報を公表することが不利益につながると考える企業が少なくない。

しかし辻氏は、隠そうとするのではなく、詳細な情報を積極的に開示することが世の中全体のセキュリティ意識の向上につながるという。

「有名企業や競合企業のサイバー攻撃被害が報道されたときに、自社は大丈夫なのかと考える。その際に、どの脆弱性が悪用されたのかが公開されていれば、対策の参考にできる。つまり、自社の被害をつまびらかにすることが、他社のため、ひいては世の中全体のためになる」


辻 伸弘 (つじ・のぶひろ)SBテクノロジー プリンシパルセキュリティリサーチャー/SI企業にて技術者として、セキュリティ製品の構築や情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)業務に従事。2014年にSBテクノロジーに転職。現在は国内外のサイバーセキュリティに関わる動向を調査・分析し、脅威情報の発信を行う(写真:SBテクノロジー提供)

ただし、その時点では情報公開することに被害企業のメリットがないため、この全体最適がなかなか実現されないのが現状だ。また社内における立場によっても、被害公表についての意識は異なる。

「現場のエンジニアや企業の広報担当が詳細を公表することに納得していても、経営層や顧問弁護士による判断で公表内容が大きく削られてしまうケースは少なくない。もちろん、彼らには組織を守ることが求められるので、情報の公表がやぶ蛇になってしまう可能性が少しでもあればリスクを回避すべきだと考えるのもわかるが、それが悪循環を生んでしまっている」

とはいえ、常に企業が完璧なセキュリティ対策を講じ続けることは困難だ。「修正プログラムが出て、すぐにそれを適用できるだけの人的・資金的なリソースを持った企業はほとんどない」と辻氏は話す。「自社は大丈夫」ではなく、どのような企業でも、いつかは被害に遭う可能性があるのだ。

被害企業も世間も「意識の変化」が必要

だからこそ、被害に遭ってしまったときが重要になる。「事故が起きてしまったことは決してよくないが、事後対応はそれとは別に考え評価すべき」だと辻氏は強調する。

そのためには、セキュリティ事故対応の情報公開に対する意識の変化が必要になるという。被害に遭った企業も、情報を受け取る世間の側もだ。

こうした問題意識から、辻氏はセキュリティ事故発生後に優れた対応を行った組織を表彰する「情報セキュリティ事故対応アワード」を立ち上げている。

その後の対応をきちんと行った企業と、そうでない企業とが同じように非難されるのはよくない。よい対応をした場合はきちんと評価することが必要と考えたからだ。

今年で9回目を迎える「情報セキュリティ事故対応アワード」は、セキュリティ事故の情報を広く公表する組織を増やし、その情報によって世の中全体のセキュリティレベル向上を実現することを目的に開催されている。最大の特徴は、事故発生後の対応についての「よい部分をほめる」ことだけにフォーカスしている点だ。

「セキュリティの専門家は、“厳しいことを言う怖い人”というイメージを持たれがち。そんなセキュリティの専門家が、積極的によい対応を評価してほめることで、意識を変えていこうという意図で実施しています」と辻氏はいう。

審査では、以下の4つの指標を基準に5人の審査員が選考を行い、受賞企業を選定している。


セミナー形式で開催される表彰式では、企業の担当者に事故発生当時のことを話してもらうことで、事故発生後の対応についてリアルな声を世間に届けている。

ノルウェー企業の透明性の高い驚異的な事後対応

では、事故発生後の理想的な対応とは具体的にどのようなものなのだろうか? 非常に透明性の高い対応をした事例として辻氏が挙げるのが、ソフトウェアなどを提供するノルウェーの企業、ボリュー(Volue)だ。

ボリューでは、サイバー攻撃による異常を認知した同日にランサムウェアに感染していることを公表している。ここでポイントとなるのが、情報発信を自社のSNSアカウントを使って行っている点だ。

すべての顧客や関係者がコーポレートサイトを見るとは限らない。もしDDoS攻撃(複数のコンピューターからウェブサイトやサーバに大量のデータを送付して負荷をかけるサイバー攻撃)の被害にあっていれば、サイト自体のアクセスもできなくなる。そのため、拡散性の高い組織外のチャンネルを使って正しい情報を周知することが重要な意味を持つ。

さらに、ボリューは被害発生当日からの13日間で19回にわたってリリースを更新。事故発生から2日後からは、現状について説明するライブ配信を毎日実施し、影響がおよぶ可能性のある顧客に向けたガイダンスも公開した。

しかも、事故発生直後にはCEOが自身の言葉でメッセージを発信。代表自らリーダーシップを取って進めていることを明確にしている。

また情報を公表するにあたっては、セキュリティの専門知識を持たない顧客にも「何となくわかった」と感じてもらえる形で情報を伝える必要がある。

その好例がスマホゲームを開発する企業、ビジュアルアーツだ。事故発生直後からSNSの公式アカウントで状況を随時報告したことに加え、復旧後に一連の事象について説明した概略図をユーザー向けに公開している。

セキュリティの専門知識がなくてもおおまかなイメージをつかむことができ、専門知識を持つ人にも起きた事象を理解できる内容で、ユーザーからも好意的な反応が得られたという。

「時系列でまとめるだけでは、どの場所でどんな障害が起きたのかをイメージしづらい。詳しいものでなくてよいので、図解などにすることは重要。ユーザーに理解してもらおうという姿勢がよかった」と辻氏は評価する。

セキュリティがブランディングになることが理想

セキュリティ事故発生時の積極的な情報公開について、国が後押しをする動きもある。2023年に関係省庁によって公表された「サイバー攻撃被害に係る情報の共有・公表ガイダンス」は、被害公表のあり方についてまとめた資料だ。

国からガイダンスが公表されたことは、企業の動きを後押しする要素として重要な意味を持つ。「ただし、国主導の動きはどうしてもスピードが遅くなるので、国と企業がどちらも取り組んでいくことが大切」だと辻氏はいう。

セキュリティ対策や、事故後の対応のあり方の意識を変えるためには、「セキュリティ対策がブランディングになる」環境が必要だと辻氏は話す。

「セキュリティはよく投資に例えられますが、実際の投資と異なり、どれだけ費用をかけても利益にはつながりません。それでも取り組むことにメリットを感じてもらうためには、セキュリティ対策に力を入れていることや、事故発生後の対応がきちんと行われたことが企業にとってのブランディングになる状態が理想です。そしてそのためには、社会が変化していくことが必要です」

(酒井 麻里子 : ITジャーナリスト/ライター)