「当社の情報が漏えいしました」──世間へどう発表すべき? タイミングは? セキュリティ専門家に根掘り葉掘り聞いてみた
ITmedia NEWS / 2024年6月12日 10時0分
吉川:なるほど。情報が漏えいした本人への報告は別として、例えば経営者が情報公開を拒否してしまうと、伏せられてしまう可能性はあると。
山口さん:規模が大きい場合は、第三者委員会が設置され、そこから対外的なレポートが出されたり、公表を促すケースもありますけどね。
木村さん:そういった判断が発生する根本原因というのは、被害を公表すること自体が、社会的な制裁につながるという意識が強いからだと思うんですよね。本来、被害を受けた組織が、二次被害を防ぐために公表すること自体はポジティブな効果を持つはずです。
しかし、現状はどうしてもSNSで広がって「やらかした」といったような声につながってしまうので、ネガティブに捉えられてしまう。みんなでセキュリティを高めるために専門知を持ち寄ろう、という意識があれば、発表しない・話題にならないタイミングで発表する判断にはならないと思います。
吉川:いち記者としてはセキュリティ関心層の方に参考にしてもらいたい意識で情報を発信しているつもりですが、媒体によっては“公開処刑”的なニュアンスもありますよね。この辺りはメディアももちろんですが、情報の受け手側も意識を改める必要があるのかもしれません。
●どこまで詳しく伝えるべきか?
吉川:では、発表の中身、情報の”粒度”についてはどうでしょうか。記者としては被害のあった日時、対象となる組織、手口や原因、漏えい件数、再発防止策や当局への報告状況などが最低でも知りたいな、と思う情報ですが。
山口さん:話にあった被害の日時や対象の組織、その規模・内容まで説明することもありますし、さらにどんなシステムが攻撃を受けたか、どんな攻撃手法だったかまで書く場合もあります。どんな脆弱性を狙った攻撃だったか、どんなマルウェアだったかまで発信する場合は、同様の被害が広がる可能性を踏まえたものであることが多いです。
ただ先ほども話した通り、われわれはこういう情報をまとめて世の中に公表する、というよりは「こういう情報を整理して、公表する情報として扱ってください」とアドバイスしています。実際にそこから先、どこまで情報を開示するかは、やはり広報的な判断になります。あえて全部開示する場合もあれば、若干オブラートに包む場合もありますね。
吉川:記者としてはなるべく詳細に開示してもらいたいところではあります。例えば「クラウドサービスの設定ミスにより」という原因説明はよく見受けられますが、これだけだとSaaS型のクラウドストレージで起きたトラブルなのか、それともAWSやAzureなどIaaS・PaaSのトラブルなのか、見分けがつきません。
この記事に関連するニュース
-
2024年上半期、SaaS事業者のセキュリティ未対策項目ワースト10- アシュアード調査
マイナビニュース / 2024年6月27日 16時47分
-
ランサムウェア渦中の「ニコニコ」に学ぶ“適切な広報対応”の重要性
ITmedia エンタープライズ / 2024年6月25日 7時15分
-
誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
-
<Kasperskyサイバー脅威レポート:2023年ランサムウェアの脅威> 2023年に対処したインシデントで最も多かったのはランサムウェア、3件に1件に達したことが明らかに
PR TIMES / 2024年6月4日 16時45分
-
脆弱性管理の「トリアージ」が抱える指標の課題 すべてに対応は難しい、「優先順位」どうつける
東洋経済オンライン / 2024年5月31日 8時0分
ランキング
-
1楽天モバイル、ついにプラチナバンド開始 都市部の穴を埋めるのがメイン
ASCII.jp / 2024年6月27日 17時20分
-
21台で安心! 「コンセントプラグ付きモバイルバッテリー」おすすめ4選 最大65Wの高出力モデルやケーブルを内蔵した3in1モデルも【2024年6月版】
Fav-Log by ITmedia / 2024年6月28日 6時10分
-
3Linuxのセキュリティ機能悪用してAndroidデバイス狙うマルウェア登場
マイナビニュース / 2024年6月28日 7時31分
-
4複数のWordPressプラグインにバックドア、確認と対策を
マイナビニュース / 2024年6月28日 8時48分
-
5新作『イナイレ』ベータテスト体験版DLは6月28日まで!配信終了後も一定期間プレイ可能
インサイド / 2024年6月27日 18時15分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください