サイバー攻撃、「被害公表のあり方」の正解とは?ガイドライン公表 被害組織の批判ではなく対応の適切な評価へ
すると、個人情報を大量に保有していない、先端技術のようなものも扱ってない企業は「われわれは狙われないだろう」と考える。確かに、これまでは価値のある情報を保有する組織よりは確率論的に“被弾”率は低かったと思う。 しかし、ランサムウェア攻撃は、攻撃者にとって価値があると思う情報を狙いに来るのではなく、「被害組織にとって価値があると思う情報」を人質にする戦術のため、これまでのような「狙われることがない組織」というのが理屈上存在しなくなってしまった。
個人にとって大事な思い出である写真、企業の会計データ、在庫の管理システム、そういったものが“人質”に取られるのだ。そのため病院や学校、中小企業など、これまでターゲットになりにくかった組織のランサムウェア被害が相次いでいる。 ■なぜ「被害の公表」は難しいのか? こうして誰もがインシデント対応を行う確率が高まっている中で、どのように被害を公表するかは極めて難しい問題だ。 なぜなら、被害情報を伝える相手、伝わる相手先がさまざまで、被害情報の受け手側が求めている情報もそれぞれ異なっているからだ。
「サイバー攻撃被害に係る情報の共有・公表ガイダンス」は、ここに少しでも道筋をつけようとトライしたものである。 「被害の開示」と言っても、被害公表だけでなく、法令に基づく所管省庁への報告・届け出、上場企業であれば適時開示、個人情報漏洩時には影響がおよぶ顧客等への個別通知、取引先への個別連絡など、相手方に応じてさまざまな目的、手段、タイミング、内容のものがある。 さらに公表のタイミングや内容については、攻撃者に利するようなものにならないよう警戒が必要だ。
例えば、攻撃者の目的が、企業が持っている先端技術情報だったとしよう。ただ、侵害拡大経路で、たまたま個人情報が保存されていたシステムを経由したとする。 こうなると、インシデント対応としては、まず個人情報保護法に基づく速報対応(3~5日以内)と、影響を受ける個人などへの通知または公表を行うことになる。 他方で、今回攻撃に遭った「製品Aの脆弱性を悪用する標的型サイバー攻撃の可能性について」と指摘するレポートをセキュリティ専門企業が公表していたとする。