サイバー攻撃､被害公表のあり方に｢正解｣の道筋 被害組織の批判ではなく対応の適切な評価へ

サイバー攻撃に遭った際の「被害公表のあり方」とは（写真：Ushico/PIXTA）

企業がサイバー攻撃に遭った際、どのように被害を公表すべきかは、これまで「正解」と言えるものがなかった。だが、「被害公表のあり方」がまとめられ、情報を開示する際に参考になるものができたのをご存じだろうか。2023年3月に公表された「サイバー攻撃被害に係る情報の共有・公表ガイダンス」だ。

東洋経済Tech×サイバーセキュリティのトップページはこちら

このガイダンスは、サイバーセキュリティ基本法の下で設置されている官民連携の活動「サイバーセキュリティ協議会」内に設置された有識者検討会が作成したものだ。事務局は、内閣サイバーセキュリティセンター（NISC）、警察庁、総務省、経済産業省、JPCERT/CCが共同で務めている。

当初、検討会ではサイバー攻撃被害の未然防止や被害拡大防止のための「情報共有」を目的としていたが、「情報共有」という意味では、すでに多くの活動実績や知見がたまりはじめていた。

そこで、これといった「正解」がない被害公表にもフォーカスを当てるべきとなり、情報共有とほぼ同じボリュームでガイダンスの紙面を割くこととなった。

攻撃側の“パラダイムシフト”で被害が増える傾向に

たびたびニュースなどの報道で「年間〇万件の攻撃」という数字を見るが、これは必ずしもサイバー攻撃被害の実態を表していない。

不正アクセス等の攻撃があったとしても、実際の被害にまで至らないものもあれば、どこにも相談せず、被害公表もしない、隠れたインシデントも多数存在しているからだ。