サイバー攻撃を受けた企業 情報をどこまで公開すべきか

ランサムウェアなどのサイバー攻撃を受けた企業はその事実はもちろん、攻撃の詳細について公表したがらない場合がある。だが、そのような判断が「正しくない」場合もある。

[Matt Kapko，Cybersecurity Dive]

　サイバー攻撃を受けたときの企業の対応はどうあるべきだろうか。例えばランサムウェア攻撃を受けたとき、その事実や攻撃手法、身代金交渉、どのような情報が流出したのか、事業復旧のめどなど、どのような情報を公開すべきだろうか。

情報共有のジレンマとは何か

　IBM Security X-Forceのステファニー・カラザーズ氏（チーフハッカー兼サイバーレンジ・グローバルヘッド）によると、インシデントについて専門家は全てを知りたがるという。だが被害を受けた側はそうは考えていない。

　サイバーセキュリティの専門家として、カラザース氏は攻撃者が実際に何をしたのかを知りたいと考えている。

　2024年5月6日〜9日にサンフランシスコで開催されたRSAのカンファレンス「RSA Conference 2024」で、カラザース氏は「Cybersecurity Dive」に対して次のように語った。

　「私は攻撃に関する情報を可能な限り確認したいと考えているが、被害者の視点に立つと、サイバーセキュリティの専門家と何を共有すべきかについて慎重な判断が求められることも理解している。大半の組織は情報を共有したいと考えているが、何が起きたのかを把握するまで、被害者側は曖昧（あいまい）にせざるを得ない」

　攻撃を受けた後、被害を受けた組織は大きなプレッシャーにさらされる。顧客からの問い合わせ対応や訴訟に関連する潜在的なリスクが、サイバーセキュリティ業界における情報共有の重要性を上回ることもある。

米国で上場している企業には「4日ルール」がある

　米国では証券取引委員会（SEC）のサイバーセキュリティ開示規則が2023年12月に施行された。今後、米国市場で上場している企業はインシデントが「重大」であると判断してから4営業日以内に開示しなければならない。

　企業はSECに提出が義務付けられている年次報告書の開示様式「フォーム10-K」を通じて、サイバーセキュリティ戦略やリスク管理、ガバナンス慣行に関する情報も開示しなければならない。

　日本では有価証券上場規定の第402条の2で定められた適時開示義務がある。これは上場企業や子会社でインシデントが発生し、株主の投資判断に大きな影響を及ぼす可能性がある場合の義務だ。適時開示のタイミングは速やかでなければならず、これは発生事実が起きた日の当日中の開示が必要だという意味だ。

　この他、個人情報保護法第二十六条で、個人データの漏えい、滅失、毀損（きそん）といったうインシデントが発生した場合、個人情報取扱事業者は個人情報保護委員会への報告義務がある。個人情報保護委員会はインシデントが見つかってから3〜5日以内に速報を求めており、その後30日以内に確報が求められる。加えて個人情報によって識別される特定の個人本人に対して通知義務がある。

　業種ごとに事故報告義務が定められていることもある。例えば電気通信役務を行う電気通信事業者は、電気通信事業法の第二十八条で、通信の秘密の漏えいやセキュリティインシデントなどに起因する重大な事故が発生した場合に、総務大臣への報告が義務付けられている。その際は原因も示さなければならない。

なぜ情報を共有しなければならないのか

　サイバーセキュリティ事業を営むBinary Defenseのジョン・ドワイヤー氏（セキュリティリサーチ・ディレクター）は「私たちがすべきことは、誰かが情報をオープンに正直に共有した結果、罰せられるのではないかと感じさせることなく、情報共有の価値を理解し、受け入れることだ」と述べた。

　RSAのカンファレンスで、ドワイヤー氏は「私たちが本当に必要としているのは、攻撃がどのようにして実行されたかという技術的に高度な情報だ」とも述べた。

　実際の攻撃から得られるインテリジェンスは、今後のインシデントを防止し、プロアクティブな検出の仕組みを構築するのに役立つものであり、防衛側が学びを得られるものだ。

　「なぜそのような情報を共有しないのか。その理由は、多くの人が理解しているよりもはるかに複雑なものだと思う。私は、組織が匿名でそれらの情報をセキュリティコミュニティーと共有する方法があれば良いと考えている」（ドワイヤー氏）

攻撃後のデータがその後の検知と防御を強化する

　情報共有では業界別のISAC（Information Sharing and Analysis Centers）が役立っている。

　ISACの目的は脅威情報を収集、分析し、複数の情報を関連付けて、それらの知識を会員のための洞察に変えることだ。

　2003年に設立された米国のNational Council of ISACsは、現在27の組織から構成されている。これらのISACは、政府機関や医療、自動車、通信、電力、金融サービスなど複数の業界で活動する重要なインフラ組織との間で情報を共有している。

　金融機関と利用者の保護を目的とするFS-ISACのジョン・デニング氏（最高情報セキュリティ責任者）は、Cybersecurity Diveに対して「情報とその重要性を理解することは、企業が自社のネットワークを防御する際に役立つ。情報を適切かつ迅速に確認できた上で、確立済みでオープンかつ信頼できる流通チャネルがあるならば、その企業は特定の業界に大いに貢献できる」と語った。

　サイバーセキュリティの専門家たちは、適切な情報と適切なコンテキストがあれば、防衛側はすぐに防御力を得られると認めている。しかし、それは被害を受けた経営幹部が直面するプレッシャーと必ずしも釣り合うものではない。

　「われわれ専門家は必ずしも多くの情報を求める必要はない。サイバー攻撃と最も関連性の高い情報が何かについて理解する必要がある。情報には量と質があり、どちらにも価値がある。情報が少ないよりは、多い方が良い」（デニング氏）

実際に被害を受けるのはサービスの利用者

　事業運営を支えるハードウェアやシステムが打撃を受けると、多くの場合、そのテクノロジーに依存している顧客が最も影響を受ける。

　パスワード管理サービスを提供するLastPassのカリム・トゥーバ氏（CEO）をはじめとする一部のビジネスリーダーは過去の失敗から学び、攻撃後の情報開示プロセスを改善しようと決意している。

　2022年に発生したサイバー攻撃により（注1）、LastPassの顧客データベースがクラウドに置いたバックアップから流出した。その後、同社は調査の結果重要な詳細が明らかになったにもかかわらず、迅速に情報を共有しなかったとして批判を浴びた。重要な情報は、7カ月かけて徐々に公開された。

　トゥーバ氏によると、将来事件が発生した場合、LastPassは迅速に情報を公開して、その情報をより早く前面に出すという。

　「困難なことかもしれないが、迅速な情報公開という考え方を全ての企業が採用する絶好の機会があるはずだ」（トゥーバ氏）

出典：Cyber pros weigh an intel-sharing quandary: What to share when attacks hit close to home（Cybersecurity Dive）
注1：LastPass CEO reflects on lessons learned, regrets and moving forward from a cyberattack（Cybersecurity Dive）