“願い”と化す「情報漏えいの事実は確認されておりません」 問われる「サイバー攻撃を受けました」発表の質

　そのような場合に、またはあえてなのかもしれませんが、「情報漏えいの事実は確認されておりません」と公表してしまうことになってしまいますが、一体どういうことだ、本当に適切な期間と各種のログが存在して、解析したの？　と思ってしまいます。

辻氏：調べたけどなかったのか、調べる能力が低かったり、備えがなかったりしてそう判断せざるを得なかったのか。その両方が「情報漏えいの事実は確認されておりません」という同じ文言になる。それはもう“願い”なんよ、って思いますね。

●「レポートの質」を上げるには、誰が頑張ればいいのか

北條氏：この悪しき風潮が浸透しまうことをかなり懸念しています。ちゃんとログを保存して管理している企業がランサムウェア被害に遭ったとして、セキュリティベンダーに依頼してきちんと調べてもらったら、漏えいした痕跡が出てきます。そうすると、漏えいした事実が確認できてしまったことになるわけです。

　ログをきちんと保存していない企業の場合であっても適切なベンダーが調査した結果であれば、例えば「適切なログがないので漏えいしていないとは断定できません」あるいは「これまでの経験から調査期間より前に漏えいした可能性があります」と説明されるわけですが、ベンダーがいい加減な場合、このような説明をきちんとしていないレポートになって、公表も、適切なログがなかったにもかかわらず「情報漏えいの事実は確認されておりません」となるわけですよね。

　企業からすれば、ログなんぞ存在しない方が良いということになってしまう。そっちの方がコストも手間もかからず、影響も少なく見せることができてしまいますからね。インシデント対応において重要なログの収集をしない方が得だと考える企業が出てきてしまうのは、セキュリティの概念とは反対方向の話です。

辻氏：そういったベンダーが増えてしまうと「悪貨は良貨を駆逐する」です。割りを食うのは利用者。

北條氏：誰のためにセキュリティをやっているのか分からないですよね。ログの保存期間や種類は法定されていないですし、影響を小さく見せることができるわけですから、企業としては、このような対策で十分だと勘違いしてしまいます。そうすると、解決法がないのではないでしょうかね。

辻氏：やはり“ムチ”しかないのかもしれません。どの程度のログがあり、どの程度の調査を行った上での判断であるのかということを報告する報告先が生まれれば出さざるを得ないはず。監督官庁なのか個人情報保護委員会なのかわかんないですけど。