不足するナレッジ、曖昧になるインシデントレポート

──話を聞いていると、ランサムウェアというインシデント対応時の、組織としての判断を行うための情報が圧倒的に不足しているのではないかと感じます 北條氏：情報が不足しているのは被害を受けた企業だけじゃなく、セキュリティベンダーも同じじゃないかと思います。新規に参入した中規模のセキュリティベンダーもたくさんありますからね。 　例えばSOC（Security Operation Center、システムへの脅威を24時間365日体制で監視・分析する）機能を提供すると、相当な売上になると聞きます。インシデントが起きれば、さらに追加で費用を上乗せできるのでしょうね。ただ、あくまで簡易的なことしかしない、あるいはできないセキュリティベンダーも増えているように思います。 辻氏：そういうベンダーがいう「監視サービス」も、本来のものとはちょっと意味合いが変わってくる場合もでてくるのかなと思います。しかも良くない方に。現状のクオリティを維持し続けることによって生じる人件費だと勝負できなくなってきますので、質を下げたオフショア対応になるかもしれません。 　そうすると「監視やっています（なんちゃって）」みたいな状態になることも考えられます。結果として、これまで真面目にやってきたベンダーが、競争力を失ってしまう。 北條氏：そっちの方が全体的な金額が安くなるから、契約を取りやすいのかもしれませんね。依頼する企業もインシデントが発生するまでどのような対応をしてくれるのかをきちんと理解せず契約している可能性もあります。個人的には、そういう良くないベンダーは、インシデント対応の経験が全くない未経験者も監視の人員として割り当てているような気がしているんです。 辻氏：下手したら人じゃなくてAIかもしれない（笑） 北條氏：そういう人たち、あるいはAIかもしれません（笑）が、最新の情報が収集できていない可能性が高いと思うんですよ。しかし、被害に遭った企業は、そのような状況は分からないですから、ベンダーを信用して依頼しているわけですので、言われるがままに信じると思います。本来、セキュリティベンダーは「常に最新の情報を手に入れよ」ということが必須であってほしいのですが、そのような義務があるわけでもなく、なかなか難しい話なんでしょうね。 辻氏：僕もリークを伴うランサムギャングを4～5年間見ていますけど、「二重脅迫」だけでも移り変わりありますもんね。VMware ESXiのソースコードがリークされてからは、ギャングの仮想環境への対応も早かったんですよ。漏えいしたソースコードの一部を流用しているんだと思うんですけど、そういう移り変わりをキャッチアップすることは結構大変だと思う。 　大手のしっかりしているセキュリティベンダーだとしても、このジャンルは詳しいけど、このジャンルは弱いとかっても多分あるんじゃないかなと思います。 北條氏：マルウェアの解析には強かったとしても、そういうランサムウェアグループをきちんと定点観測しているベンダーっていうのは少ないかもしれません。継続的に深く情報収集をしているのは、辻さんとか数人ぐらいじゃないんですか（笑）？ 辻氏：何人いるかは分からないですけど、分析はしていても「発信」はそれほどされてないですよね。それはないのと一緒だと思うんですよ。加えて誤った情報が広まることもありますし、時間がたって情報が陳腐化していることもあります。 北條氏：ランサムウェアの被害に遭った企業が依頼して調査したベンダーからのレポートは、私から見ても足りない情報、古い情報が散見される。“お客様”から見れば立派なレポートに見えるかもしれないけど、私から見ると、何を意味しているんですか？　なぜこの結論になったのですか？　この結論の裏付けはあるんですか？　このように考えることもできるのではないですか？　という内容がよくあります。 　多分、他の被害に遭った企業に助言しているセキュリティに明るくない弁護士の方々は、調査レポートをきちんと確認できていないかもしれず、そのような問題のあるレポートに気付けていないのではないか、とも思います。この辺りは弁護士も知識を付けてほしいところです。 辻氏：グローバル化が進んで、ベンダー使ってインシデントのレポートを世界の各地域で上げてもらうと、そのレベル感が違うんですよ。同じ攻撃グループなのに、レポートの書きっぷりが全然違うことも多い。 北條氏：このようなベンダーからのレポートに基づいて、被害に遭った企業が公表しているリリースなどにおいて最近散見されるのが「情報漏えいの事実は確認されておりません」という表現。これは本当に気になっています。 辻氏：僕がつい反応してしまう言葉ですね！