サイバー攻撃、被害公表のあり方に「正解」の道筋 被害組織の批判ではなく対応の適切な評価へ

著者フォロー
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小

十数年前であれば、そういう回答でもよかっただろうが、この間に社会全体のサイバーセキュリティへの知見は、さまざまな被害公表や報道により確実に高まった。だから、発表を見た多くの人の対応の「相場観」との間にギャップがあったのだろう。

あくまで筆者の個人的な考えだが、日本では2005年の個人情報保護法施行が大きなインパクトがあったため、サイバー攻撃被害の公表≒個人情報漏洩事故の公表というケースが多く、サイバー攻撃被害組織≒個人情報を漏洩させた組織という認識が潜在的に強いのではないか。

そうした背景が、いわゆる「被害組織批判」を強めてしまっている。サイバー攻撃の被害に遭ったにもかかわらず、オーディエンス(ステークホルダー、メディア、報道を見る人々など)には「被害組織」という認識が希薄で、どうしても被害組織は被害公表に消極的になってしまう。

インシデント対応の「相場感」ギャップを埋めるには

「ニワトリが先か、卵が先か」という議論になるが、より積極的な被害公表が多く行われるようになれば、「どういう種類の攻撃の場合、被害組織はどのくらいのスピード、内容で対応しているのか」という相場観がある程度醸成され、被害組織がとったインシデント対応に対して、より適切な評価がなされるようになるだろう。

現状では、被害組織とオーディエンスの間に情報の非対称性があり、適切な評価が難しい状態にある。この十数年でサイバーセキュリティへの理解度が高まったと言ったが、高度化かつ複雑化する攻撃に対してはまだまだ理解が追い付いていないのが現状だ。

また、ソフトウェア製品の脆弱性を悪用する深刻な攻撃被害が相次ぐ中、多くの企業では脆弱性が公表されても「じゃあ、どのくらいのスピードで修正対応すればいいのか」と判断に悩むケースが多いのではないか。

セキュリティ専門の機関からは「速やかに対応を」と言われるものの、実際のユーザー組織側では、システム停止による顧客や取引先への影響なども考えなければならず、難しい判断を迫られる。

それも被害組織から積極的な公表がなされることで「どういう脆弱性はどのくらいのスピードで悪用されるのか。どのくらいの速さで対応すれば間に合うのか」という知見が社会全体において蓄積されていけば、対応の相場観について、少なくとも今よりはその“解像度”が上がるのではないかと考える。

先に触れた通り、むやみやたらに開示しすぎると攻撃者に利することになったり、第三者の不利益を生んだりする恐れがあり、被害組織がインデント対応の際に参照できる「レファレンス」が必要だ。

まだまだ論点が数多く残る被害公表の問題だが、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」には組織が判断するためのポイントを可能な限り列挙して整理しているので、一読することをおすすめしたい。

東洋経済Tech×サイバーセキュリティのトップページはこちら

佐々木 勇人 JPCERTコーディネーションセンター 脅威アナリスト

著者をフォローすると、最新記事をメールでお知らせします。右上のボタンからフォローください。

ささき はやと / Hayato Sasaki

2010年から独立行政法人情報処理推機構(IPA)にて勤務後、2013年から経済産業省商務情報政策局情報セキュリティ政策室(現サイバーセキュリティ課)へ出向。2016年7月JPCERT/CCに入職。国内外のセキュリティ情報の収集、分析および早期警戒情報や注意喚起などの情報発信業務、関係構築、調整業務に従事。

この著者の記事一覧はこちら
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

関連記事
トピックボードAD
ビジネスの人気記事