日本企業のセキュリティ対応は問題だらけだ インシデント(致命傷)はどうすれば防げるか

ところが、それとは別に、今度はオンライン販売のウェブサイトがサイバー攻撃によって約3カ月間不定期に止められてしまった。これは特定国からの購入ができないようにすることが目的と推測される妨害行為だった。

実は、この企業の場合は前述の情報漏洩よりもシステムを止められるほうが致命的だった。ある特定国からの売り上げは月5000万～8000万円程度だったという。つまり、最低でも1億5000万円の損失があったことがわかる。この金額は、先の個人情報対応よりもインパクトが大きく、システムの改修費用まで含めるとかなりのダメージであった。

このような経営観点と実務の観点では、想定される最悪シナリオが異なることがある。つまり、近年のリスクシナリオはサイバー攻撃被害という点だけで考えるのではなく、その対応や改修費用、その後のビジネスへの影響を想定する必要があるのだ。

（3）初動対応は報告・連絡・調査

社会人になりたての頃、「報・連・相を徹底するように！」なんて口酸っぱく言われた覚えはないだろうか。ただ、今回のようなケースの場合は事実を正確に把握することが求められるため、私は「報・連・調（ホウレンチョー）」が大事と考えている。

報告はステークホルダーへの報告、連絡は関係各所への情報共有、調査はセキュリティイベントが重大インシデント化しないように事実を正確にとらえるための分析作業だ。昨今、日本では空前の企業内CSIRT（コンピュータセキュリティインシデント対応チーム）の構築ブームだ。そのため、報告と連絡の手順やスピード感はおおむねどの組織も理解しているようだ。ただ、調査に関してはどうも業種により認識が異なり、理解が進まないのが現状だ。

ハンドリングはサイバーセキュリティの責任者

記事中段でインシデント対応前に考慮してもらいたい3点を紹介した。現実問題として、「難しそうだし、よくわからない」と考える組織も少なくないことは重々承知だ。しかし、頭の片隅に入れておいてほしい。

とはいえ、これら3点を念頭においた対処ができるようになると、メリハリのある対応が可能になり、インシデント化するイベント件数を減少させることができる可能性がある。これは筆者の実体験に基づいている。いわゆる「モグラたたき式」のセキュリティ対策を実施している企業は、その誤検知率が高い傾向にある。正規のシステムの挙動であるにもかかわらず、インシデントと判断し、対応コストが発生してしまったというケースは頻発している。その頻度は「そりゃ、人材も不足するわ！」と叫びたくなるほどである。

このような状況にならないようにするため、やはりセキュリティイベントには基準を設けたうえで、インシデント化のリスクを検討してもらいたい。繰り返しになるが、単なるマルウェア感染だけのものは、インシデント化のおそれはない。

では、誰がこれらをハンドリングするのが適切なのか、という観点で考えてみたい。