サイバー攻撃被害｢お詫び｣で好感得る企業の特徴 隠すのが主流だが透明性の高い対応が理想的

ランサムウェア被害の場合は、盗まれた情報がリークサイトに掲載されてしまうケースもあるため、ランサムウェアの種類などを具体的に出すことが情報の流出先の特定につながるリスクもある。いずれにしても、詳しい情報を公表することが不利益につながると考える企業が少なくない。

しかし辻氏は、隠そうとするのではなく、詳細な情報を積極的に開示することが世の中全体のセキュリティ意識の向上につながるという。

「有名企業や競合企業のサイバー攻撃被害が報道されたときに、自社は大丈夫なのかと考える。その際に、どの脆弱性が悪用されたのかが公開されていれば、対策の参考にできる。つまり、自社の被害をつまびらかにすることが、他社のため、ひいては世の中全体のためになる」

辻 伸弘 （つじ・のぶひろ）SBテクノロジー プリンシパルセキュリティリサーチャー／SI企業にて技術者として、セキュリティ製品の構築や情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト（侵入テスト）業務に従事。2014年にSBテクノロジーに転職。現在は国内外のサイバーセキュリティに関わる動向を調査・分析し、脅威情報の発信を行う（写真：SBテクノロジー提供）

ただし、その時点では情報公開することに被害企業のメリットがないため、この全体最適がなかなか実現されないのが現状だ。また社内における立場によっても、被害公表についての意識は異なる。

「現場のエンジニアや企業の広報担当が詳細を公表することに納得していても、経営層や顧問弁護士による判断で公表内容が大きく削られてしまうケースは少なくない。もちろん、彼らには組織を守ることが求められるので、情報の公表がやぶ蛇になってしまう可能性が少しでもあればリスクを回避すべきだと考えるのもわかるが、それが悪循環を生んでしまっている」

とはいえ、常に企業が完璧なセキュリティ対策を講じ続けることは困難だ。「修正プログラムが出て、すぐにそれを適用できるだけの人的・資金的なリソースを持った企業はほとんどない」と辻氏は話す。「自社は大丈夫」ではなく、どのような企業でも、いつかは被害に遭う可能性があるのだ。

被害企業も世間も「意識の変化」が必要

だからこそ、被害に遭ってしまったときが重要になる。「事故が起きてしまったことは決してよくないが、事後対応はそれとは別に考え評価すべき」だと辻氏は強調する。

そのためには、セキュリティ事故対応の情報公開に対する意識の変化が必要になるという。被害に遭った企業も、情報を受け取る世間の側もだ。