「当社の情報が漏えいしました」──世間へどう発表すべき? タイミングは? セキュリティ専門家に根掘り葉掘り聞いてみた
ITmedia NEWS / 2024年6月12日 10時0分
しかし、この二つでは注意喚起すべき対象が異なると思います。可能であれば切り分けるべき内容と思うのですが、こういった情報の粒度はどう判断するものなのでしょう。
木村さん:広報戦略の観点もあると思うのですが、開示によって二次被害を起こしてしまう可能性がある情報は、表に出すべきではありません。
例えば脆弱性に関連する情報の場合、既知の脆弱性かつすでに対策が世に出ているものであれば、(プレスリリースなどで大々的に知らせるかは別として)世に知らせることで対応を促せるものと思います。
ただ、いわゆるゼロデイ脆弱性のような、まだ対策の仕方が分かっていないケースは、やめた方がいいと思いますし、専門機関もそうアドバイスするでしょう。脆弱性の原因となる(サービスや機器を提供する)ベンダーと調整した上で、対策が出た後に情報を出そう、という流れになるのではないかと思います。
山口さん:過去には、もともとは攻撃の難易度が高かったものの、公表されることで容易になってしまったケースもありましたね。われわれも、攻撃手法や脆弱性の情報について公表しすぎると、かえって攻撃の標的にされ得るということは(クライアントなどに)伝えています。
木村さん:そういった情報は「ISAC」といった各業界にあるセキュリティの調査組織や政府機関など、一般には公表しない形で集約する場に共有した方がいいと思います。一方、一般向けにはこれらの取り組みを進めている旨を発表すると、ネガティブには捉えられないのかなと。逆に言えば「詳しいことは言えません」とするときの理由付けにもなってしまうのですが。
吉川:確かに、自分にとっても「それを言われるとこれ以上は聞きにくい」ワードですね……その辺りは各企業に誠実さを求めるしかないですし、報じるに当たってこちらも誠実でありたいです。
山口さん:あとは、個人の特定に関する話もありますね。個人の責任所在が特定可能になってしまうと、企業としては働く人を守る義務が果たせなくなってしまいます。内部不正は例外ですが。同様に、被害を受けた人の特定もできないような知らせ方が必要です。
吉川:設定ミスなど人為的なミスの場合も、個人ではなく「そうなってしまう仕組みが悪い」が結論になるといった具合でしょうか。
●「うちの情報が漏れました」正しく伝えるのに必要な備えは
吉川:では、ここまで話したような備えをどのようにするか、という点についてはいかがでしょう。自分の立場で言うのもなんですが、何かあった際「対外的な発表に向けた動きはどうする」「記者対応はどうする」という訓練までしている企業は、そこまで多くないんじゃないかと思うんですよね。どのように備えるのが正解なのでしょうか。
この記事に関連するニュース
-
2024年上半期、SaaS事業者のセキュリティ未対策項目ワースト10- アシュアード調査
マイナビニュース / 2024年6月27日 16時47分
-
【2024年上半期セキュリティレポート Vol.2】SaaS事業者のセキュリティ未対策項目 TOP10
PR TIMES / 2024年6月27日 11時15分
-
ランサムウェア渦中の「ニコニコ」に学ぶ“適切な広報対応”の重要性
ITmedia エンタープライズ / 2024年6月25日 7時15分
-
誰もが信頼している製品・サービスに潜む脆弱性 まさかの「アップデートしたら感染」する事例も
東洋経済オンライン / 2024年6月17日 9時0分
-
<Kasperskyサイバー脅威レポート:2023年ランサムウェアの脅威> 2023年に対処したインシデントで最も多かったのはランサムウェア、3件に1件に達したことが明らかに
PR TIMES / 2024年6月4日 16時45分
ランキング
-
1老後の趣味で気軽に“塗り絵”を始めて1年後…… めきめき上達した70代女性の美麗な水彩画に「本当にすごい…」「感動です」
ねとらぼ / 2024年6月29日 22時0分
-
2シャオミ、ペンを発売 「書き心地は良いが、タブレットとペアリングはできません」と公式
ITmedia NEWS / 2024年7月3日 8時30分
-
3「ロンハー」有吉弘行のヤジに指摘の声「酷かった」「凄く悲しい言葉」 42歳タレントが涙浮かべる
ねとらぼ / 2024年7月2日 15時31分
-
4NFTでバンクシーを分割販売、アート市場の民主化目指すUAEスタートアップ10101.art
Techable / 2024年7月3日 12時0分
-
5坂本龍馬はそんなこと言わない! 居酒屋で発見された“ウソすぎる名言”が話題「おもろすぎる」「せめて土佐弁で」
ねとらぼ / 2024年7月2日 20時30分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください