「レポートの質」を上げるには、誰が頑張ればいいのか

北條氏：この悪しき風潮が浸透しまうことをかなり懸念しています。ちゃんとログを保存して管理している企業がランサムウェア被害に遭ったとして、セキュリティベンダーに依頼してきちんと調べてもらったら、漏えいした痕跡が出てきます。そうすると、漏えいした事実が確認できてしまったことになるわけです。 　ログをきちんと保存していない企業の場合であっても適切なベンダーが調査した結果であれば、例えば「適切なログがないので漏えいしていないとは断定できません」あるいは「これまでの経験から調査期間より前に漏えいした可能性があります」と説明されるわけですが、ベンダーがいい加減な場合、このような説明をきちんとしていないレポートになって、公表も、適切なログがなかったにもかかわらず「情報漏えいの事実は確認されておりません」となるわけですよね。 　企業からすれば、ログなんぞ存在しない方が良いということになってしまう。そっちの方がコストも手間もかからず、影響も少なく見せることができてしまいますからね。インシデント対応において重要なログの収集をしない方が得だと考える企業が出てきてしまうのは、セキュリティの概念とは反対方向の話です。 辻氏：そういったベンダーが増えてしまうと「悪貨は良貨を駆逐する」です。割りを食うのは利用者。 北條氏：誰のためにセキュリティをやっているのか分からないですよね。ログの保存期間や種類は法定されていないですし、影響を小さく見せることができるわけですから、企業としては、このような対策で十分だと勘違いしてしまいます。そうすると、解決法がないのではないでしょうかね。 辻氏：やはり“ムチ”しかないのかもしれません。どの程度のログがあり、どの程度の調査を行った上での判断であるのかということを報告する報告先が生まれれば出さざるを得ないはず。監督官庁なのか個人情報保護委員会なのかわかんないですけど。 北條氏：個人情報保護委員会も適切な保存期間や種類のログがあった上での解析結果でなければ、漏えいのおそれは否定できないことをもっと発信しないとダメだと思いますが、なかなかされない。解析結果に対して、第三者の目線が必要だ、という話にもつながるのですが、そうなると誰がそれをやるのかということにもなってきます。