“願い”と化す「情報漏えいの事実は確認されておりません」 問われる「サイバー攻撃を受けました」発表の質
“ダマ”が減ったのはいいけれど……「70点の発表」が氾濫する懸念
北條氏:ランサムウェアの被害が多く発生して、一部不適切な事例も見受けられますが、多くの企業がしっかりと事故対応を発表するようになった傾向はとてもいいことだと思います。ただ、他方で、経営者がこの状況を見て「被害を受けても大したことない」と判断してしまわないかという点も一つの大きな懸念です。 辻氏:最近ではサプライチェーンが関係するので、一つ被害が発生するだけで、多くの企業に影響が出る。僕はどちらかというと、この状況下でリリースの質が変化する懸念を抱いています。他がこの程度の内容なら、うちもそれで、みたいな。同じようなことはリスト型攻撃が流行ったころに特定の業界で起きていました。 他よりも劣ることは避けたいけど、突出する必要もないという考えで、さっきの70点で合格やったら70点でええやん、と。 北條氏:経営者は横並びを意識してしまいますからね。それに対して、対策費用をどこまで使うか。むしろかけなくてもいいんじゃないか、というような考えが増えてしまうとより大きな問題になりますね。 辻氏:増えるでしょうね。しかも、それをダメだと説得する材料がない。経営者自身の立場が脅かされないと、やっぱお金を払わないかもしれない。別に改善命令が出されるわけでもない。別に規制も働かない。 この手の話はいつもこういうところに帰着してしまう。いつも思うんですけど……結局、攻撃者がもうかり続ける。攻撃者パラダイスですよ。これ(苦笑) 北條氏:それ、記事に書かれちゃいますけど、いいのですか?(笑)
誰が見張りを見張るのか? 法律のこれからに感じる課題
北條氏:日本に特徴的で、海外と大きく違うと考えられているのは憲法にある「通信の秘密」だと思うんですよね。このインターネットが発展した現代においては、攻撃者を特定するためにログを取ることや、そのログを分析したり、提出したり、共有したりすることとかは、通信の秘密がネックになってきている場面もあると思います。 この点、能動的サイバー防御に関連して、東京大学の宍戸常寿先生が語っていましたが、通信の秘密にも制限があって、例外もあるんだと述べています。その例外をどこまで広げるか、そのためのガバナンスを確保する必要があることは、今後、議論になるでしょうね。 ログについては、取る、取らないの判断に加えて、取ったログをいつまで保存しておくのかという課題もあります。ログを持つこと自体、特定の個人と紐づくこともあるため、適切な安全管理措置を講じなければならず、これをマイナスと捉える側面もあるので、できるだけ取得したくない、取得するとしても早く消したいという考えがある。 日本の法律でログについての保存期間を規定したものはないんですよね。自社が管理している業務やサービスに対して、必要がないのであればログを保存しないという選択も取れることになってしまいます。 もしサイバー攻撃を受けた場合を想定して、調査ができるよう各企業は適切な期間、適切な種類のログを保存せよという規制ができたとしても、費用も相当かかることになって、守らないまたは守れない企業が一定数存在してしまい、このような企業に対して処分するのかという議論が当然に出てくる。 先の規制の話と同様、じゃあそれを誰がどう確認して処分するのか、多数の企業を一律に処分できるのかという問題になる。それはおそらくできないので、そのような規制を作ることも相当の時間がかかると思います。 自社のシステムに対するログですら、近年ようやくセキュリティの観点からモニタリングされるようになってきていますが、ログ自体を長期間保存していないという企業も多い。また、秘密として保存されるべきログを第三者にどこまで「提供」するかっていう問題も議論されていると思います。 辻氏:ISPからしたら、能動的サイバー防御は戦々恐々ですよ。設備投資が必要かもしれないので、それを早く知りたいと思っているでしょうね。 北條氏:そうですよね。システム的な改修やシステムの増強も必要になるかもしれませんからね。もう一つは「ハックバック」のような、能動的なハッキング(による防衛)が可能なのかという問題です。 辻氏:例えばレンタルサーバやクラウドサービスがあって、そのユーザーは日本人で、サーバが侵害されていると分かった時にハックバックして止めると、サービスが止まるんですよね。その止まった間の事業収益を誰が保証するのか。「マルウェアを消すだけ」みたいにきれいにクリーンアップできるとも思えないんです。そこでも、誰が、何をしたか、どう監督監視するのかという課題があります。 北條氏:実際に実施するとなったら警察ですかね。あるいは防衛省が実施するのかもしれません。そのやり方を誰が教えるのでしょうかね? 辻さんが教えるのですかね(笑) 辻氏:頑張らせてもらえるなら……ってやらせてもらえないですよ!
