“願い”と化す「情報漏えいの事実は確認されておりません」 問われる「サイバー攻撃を受けました」発表の質

辻氏：セキュリティ事故が起きた時の体制のような「格付け」の方が僕は必要かなと思いますね。トレーサビリティーをきちんと確保しているかどうか、ログがあるないとか、そういうレベルの話。監査に近いかもしれませんが。

　ただ、監査とか基準を作って、外圧として最初は機能していても、中身が形骸化していく問題があります。ISMSもPマークも。

北條氏：多くの企業がそのような認証を取得していますが、それでもサイバー攻撃を受けて被害に遭っているわけですよね。そうすると、そもそもそのような認証の意義があるのかということと、本当に認証を取得できるレベルだったのかという審査を行う会社の信頼性が問われても良い状況なのではないかとも思っているんですよ。審査会社もたくさんの企業を審査しないといけない状況に陥ってしまっていて、審査が甘くなっているとかはないのでしょうかね。

辻氏：セキュリティサービスって、名前で見たら一緒なんですよ。「セキュリティ監視」と掲げていても、どこまでのことをしているかっていうのは、そのサービス名称からは読めない。

北條氏：SOC（Security Operation Center、システムへの脅威を常時監視・分析する）だからといって、24時間365日監視をしないサービスもある。それをSOCって称していいんですかね。

辻氏：同じようなテーブルに乗せるなということはありますよね。監視かもしれないけど、SOCではないように思える。

北條氏：確かにそうですね。SOCというからきちんと年中無休のセキュリティ対応をしてくれると思っていたらそうではなかったと、インシデントが起きてから気づいても後の祭りです。他にも、「脆弱性診断」といっていいのか分からないサービスがありますね。

辻氏：網羅的に調べて、その範囲で全部侵入できるものを洗いだすものと、何か見つけたらそこで終わりというものが、同じ「ぺネトレーションテスト」という名前で出ています。

　僕がやっていたのはもちろん前者ですが、後者の場合は1つの脆弱性だけを見つけて、残りの可能性を探らないので対象の組織にとっての安全にも安心にも繋がらない。そういったことがトラブルになった話などもいくつか聞いたことがあります。それが同じサービスとして扱われていましたもんね。

●“ダマ”が減ったのはいいけれど……「70点の発表」が氾濫する懸念

北條氏：ランサムウェアの被害が多く発生して、一部不適切な事例も見受けられますが、多くの企業がしっかりと事故対応を発表するようになった傾向はとてもいいことだと思います。ただ、他方で、経営者がこの状況を見て「被害を受けても大したことない」と判断してしまわないかという点も一つの大きな懸念です。