必ず読んでおきたい、無料のセキュリティ教本集（2017年版）：セキュリティ強化塾（4/5 ページ）

[キーマンズネット]

先達に学べ、もしも情報漏えいインシデントを起こしてしまったら

　少々方向性を変え、他社のインシデントから学ぶということを考えたい。事故を起こしてしまった企業や団体から発表された資料は、大きなインシデントの記録と、その発生原因、対処を記した、大変重要なものとなる。

• 富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について
• 不正行為および、それを拡散する行為について（2016/10/13更新）
• アパレル特化型ECプラットフォーム「スパイラルEC」における不正アクセスによる個人情報流出に関するお知らせとお詫び

　もはや企業から情報漏えいインシデントを完全になくすことは非常に難しい。どれだけのコストを掛けても決して完璧はあり得ない。今回取り上げた資料では、インシデント発生後から定期的かつ詳細にその内容が公開されている。これらは2017年2月に開催された「第2回情報セキュリティ事故対応アワード」において、特別賞や優秀賞を受賞している。

　資料を読むと、事故発生の原因だけでなく、対象となる被害者の範囲やその対応方法も分かる。失敗してしまった企業としては、あまり大ごとにしてほしくない話だろう。だが、もしかしたら同様の攻撃が他社でも発生するかもしれない。早い時点で分かる範囲の情報公開が行われていれば、被害の拡大を防げる可能性がある。攻撃に使われた脆弱性がどのようなものであったか、不正な通信が行われた先がどのようなドメインだったか、きっかけとなったマルウェアがどのような文面で送られてきたのか。このように考えれば、適切かつ素早い情報公開（情報共有）は非常に有意義なことである。

　これまで、「何も対策していないでインシデントを起こした企業」と、「頑張って対策していたにもかかわらず、インシデントが起きてしまった企業」とでは、恐らくどちらであっても等しく責められてきたことだろう。このような状況を変えなければ「どうせ怒られるなら、詳細なセキュリティ対策など黙っておこう」と考える企業も出てきてもおかしくない。

　そうではなく、同じ被害を受ける可能性のある企業を減らすために何ができるかを考え、適切な事後処理を行った企業は、その点において称賛されてもいいはずだ。その前提で上記の企業が公開した資料を読むと、これらがいかに貴重なものかが分かるだろう。