サイバー攻撃の後始末をどうする 黙っていることは得策なのか

サイバー攻撃を受けたとき、その事実を公表した方がよいのか、それとも黙っていた方がよいのだろうか。

[Matt Kapko，Cybersecurity Dive]

　セキュリティ監視をサービス提供するArctic Wolf Networksが2023年2月16日に発表した調査報告書によると（注1）、調査対象となった組織のうち50％が2022年にデータ侵害に見舞われた。

黙っていれば丸く収まるのか

　報告書によれば、侵害された組織の72％が情報を開示しないことを選択した。この選択は正しいのだろうか。

　「インシデントが注目された場合にのみ組織を助けることができる」とサイバー当局が常に警告しているにもかかわらず、侵害後の情報開示は依然として少ない。

　Arctic Wolf Networksのクリストファー・フィールダー氏（フィールドCTO《最高情報責任者》）は、「一部の組織は残念ながら、まだ、データ侵害を開示すると悪評を呼ぶと信じている。なぜなら、侵害されたということはIT環境を積極的に保護していないことを意味すると考えているからだ」という。

　サイバーインシデントの発生率や規模を見ると、どのような組織でも情報漏えいの対象になり得ることが分かる。「インシデントが起きたことを組織の弱さの現れと見なすべきではない」（フィールダー氏）

　組織が情報を隠すようになる原因は複数あるという。風評被害や担当者のキャリアへの影響、追跡調査を受ける可能性、保険料の高騰、法的義務の欠如などが、調査で上位に挙がった理由だ。

　「どの組織も開示しなかった理由を正当化するための言い訳を考え出すだろう。だが結局のところ、開示しないことは良い結果よりも悪い結果を生む場合が多い。企業は沈黙して閉じこもり、苦しむ必要はない」（フィールダー氏）

身代金をどのように支払っているのか

　ランサムウェアは2023年においても組織のサイバーセキュリティにおける最大の懸念事項だ。今回の調査では、対象組織の42％が2022年にランサムウェアの攻撃を受けたと回答した。

　ランサムウェアの攻撃を受けた組織の大半は、身代金の支払いに関して当局のアドバイスに従っていない。報告書によれば2022年にランサムウェアの攻撃を受けた企業の74％が、身代金の少なくとも一部を直接、または保険会社を通じて支払っている。

　身代金の支払い方法にばらつきがあることから、企業は攻撃を取り巻く状況に合わせて行動していることがうかがえる。2022年に身代金を支払った組織のうち、41％が身代金の全額を支払い、22％が身代金の一部を支払い、11％が保険会社や第三者に身代金の一部を代理で支払うことを選択した。

　情報の開示が進めば、身代金についてもより効果的な情報共有ができるだろう。

　今回の報告書は13カ国のディレクターレベル以上のITプロフェッショナル701人を対象とした調査に基づく。

出典：Companies grapple with post-breach disclosure risks（Cybersecurity Dive）

注1：THE STATE OF CYBERSECURITY 2023 TRENDS（PDF）