サイバー攻撃、被害公表のあり方に「正解」の道筋 被害組織の批判ではなく対応の適切な評価へ

著者フォロー
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小
謝罪会見
サイバー攻撃に遭った際の「被害公表のあり方」とは(写真:Ushico/PIXTA)

企業がサイバー攻撃に遭った際、どのように被害を公表すべきかは、これまで「正解」と言えるものがなかった。だが、「被害公表のあり方」がまとめられ、情報を開示する際に参考になるものができたのをご存じだろうか。2023年3月に公表された「サイバー攻撃被害に係る情報の共有・公表ガイダンス」だ。

東洋経済Tech×サイバーセキュリティのトップページはこちら

このガイダンスは、サイバーセキュリティ基本法の下で設置されている官民連携の活動「サイバーセキュリティ協議会」内に設置された有識者検討会が作成したものだ。事務局は、内閣サイバーセキュリティセンター(NISC)、警察庁、総務省、経済産業省、JPCERT/CCが共同で務めている。

当初、検討会ではサイバー攻撃被害の未然防止や被害拡大防止のための「情報共有」を目的としていたが、「情報共有」という意味では、すでに多くの活動実績や知見がたまりはじめていた。

そこで、これといった「正解」がない被害公表にもフォーカスを当てるべきとなり、情報共有とほぼ同じボリュームでガイダンスの紙面を割くこととなった。

攻撃側の“パラダイムシフト”で被害が増える傾向に

たびたびニュースなどの報道で「年間〇万件の攻撃」という数字を見るが、これは必ずしもサイバー攻撃被害の実態を表していない。

不正アクセス等の攻撃があったとしても、実際の被害にまで至らないものもあれば、どこにも相談せず、被害公表もしない、隠れたインシデントも多数存在しているからだ。

関連記事
トピックボードAD
ビジネスの人気記事