サイバー攻撃被害｢お詫び｣で好感得る企業の特徴 隠すのが主流だが透明性の高い対応が理想的

多くの企業が被害情報の公開を最小限にとどめている（写真： masamasa2 / PIXTA）

当社サーバーが外部から不正アクセスを受け、個人情報の一部が外部に漏洩した可能性があることが判明しました――。

東洋経済Tech×サイバーセキュリティのトップページはこちら

こんな一文から始まるサイバー攻撃を受けた企業からのお詫び、お知らせを目にする機会が多くなった。ただ、多くの企業は被害情報の公開を最小限にとどめている。被害に遭ったにもかかわらず、世間では批判にさらされることも少なくないから当然ともいえるだろう。

しかし、「被害情報はできる限り詳しく公表したほうがよい」。こう話すSBテクノロジーのセキュリティリサーチャー辻伸弘氏に、企業がサイバー攻撃被害に遭った後に取るべき対応について聞いた。

被害情報を詳しく公表すると不利益になる?

セキュリティ事故の発生後、被害企業が詳細に情報を公開しない要因はいくつかある。例えば、どんな脆弱性が狙われたのかなどの事実関係を明らかにすることで、「修正プログラムが公開されていたのに実施していなかった」といったような批判をされかねない。