“願い”と化す「情報漏えいの事実は確認されておりません」 問われる「サイバー攻撃を受けました」発表の質
昨今の被害状況を見れば分かる通り、サイバー攻撃、特にランサムウェアの脅威は、業種も企業規模も無関係にやってくるようになった。それに伴い、技術やシステム構成による防御だけでなく、人と組織の課題に目を向けることも重要になりつつある。 辻伸弘氏(左)、北條孝佳氏(右) 組織の力やセキュリティ統制の仕組み、加えて法の解釈や規制の理解も、セキュリティを形作る大事な要素だ。中でも関心が集まりやすいのは「身代金、支払うべきか、拒否するべきか」という課題だろう。 ポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る本連載。第2弾となる今回は、この「身代金、支払うべきか、拒否するべきか」という課題に注目していこう。 今回の対談相手は元警察庁技官で弁護士。西村あさひ法律事務所・外国法共同事業のパートナーで、サイバーセキュリティ・インシデント対応の豊富な経験を持つ北條孝佳弁護士を招いた。法律のスペシャリストがセキュリティの視点を加え、「身代金支払い」「インシデント対応時の組織としての判断」「法律のこれからに感じる課題」を語る。その対談の様子を前後編でお届けしよう。 後編では、インシデントレポートの質の課題や規制による影響、そして今まさに日本で議論となっている「サイバー法案」を語った。
“願い”と化す「情報漏えいの事実は確認されておりません」
北條氏:インシデントレポートで最近散見されるのが「情報漏えいの事実は確認されておりません」という表現。これは本当に気になっています。 辻氏:僕がつい反応してしまう言葉ですね! 北條氏:この「事実」ってなんなんでしょうね。例えば一定期間保存した各種のログがあって、きちんと保全もできていた場合に、これを適切に解析した結果、「情報漏えいの事実は確認されておりません」という「事実」ならば分かります。 しかし、例えば極端な話、攻撃者が2週間前に外部へデータを送信していたけれど、ログが1週間分しかなく、その1週間だけを解析したら、当然、漏えいした痕跡はないことになります。 辻氏:範囲の問題ですよね。 北條氏:そのごく限られた期間だけを解析したら、「事実」としては漏えいしていないという結論になっているのだと思いますが、それはおかしな話です。それを専門事業者であるセキュリティベンダーから受けとったら、レポートを読んだ知見のない被害組織の担当者は「何も漏えいしてないんだ」と勘違いすると思いますよ。 そのような場合に、またはあえてなのかもしれませんが、「情報漏えいの事実は確認されておりません」と公表してしまうことになってしまいますが、一体どういうことだ、本当に適切な期間と各種のログが存在して、解析したの? と思ってしまいます。 辻氏:調べたけどなかったのか、調べる能力が低かったり、備えがなかったりしてそう判断せざるを得なかったのか。その両方が「情報漏えいの事実は確認されておりません」という同じ文言になる。それはもう“願い”なんよ、って思いますね。