サイバー攻撃､被害公表のあり方に｢正解｣の道筋 被害組織の批判ではなく対応の適切な評価へ

サイバー攻撃に遭った際の「被害公表のあり方」とは（写真：Ushico/PIXTA）

企業がサイバー攻撃に遭った際、どのように被害を公表すべきかは、これまで「正解」と言えるものがなかった。だが、「被害公表のあり方」がまとめられ、情報を開示する際に参考になるものができたのをご存じだろうか。2023年3月に公表された「サイバー攻撃被害に係る情報の共有・公表ガイダンス」だ。

【図で確認】サイバー攻撃に遭った際の被害公表の流れ

このガイダンスは、サイバーセキュリティ基本法の下で設置されている官民連携の活動「サイバーセキュリティ協議会」内に設置された有識者検討会が作成したものだ。事務局は、内閣サイバーセキュリティセンター（NISC）、警察庁、総務省、経済産業省、JPCERT/CCが共同で務めている。

当初、検討会ではサイバー攻撃被害の未然防止や被害拡大防止のための「情報共有」を目的としていたが、「情報共有」という意味では、すでに多くの活動実績や知見がたまりはじめていた。

そこで、これといった「正解」がない被害公表にもフォーカスを当てるべきとなり、情報共有とほぼ同じボリュームでガイダンスの紙面を割くこととなった。

攻撃側の“パラダイムシフト”で被害が増える傾向に

たびたびニュースなどの報道で「年間〇万件の攻撃」という数字を見るが、これは必ずしもサイバー攻撃被害の実態を表していない。

不正アクセス等の攻撃があったとしても、実際の被害にまで至らないものもあれば、どこにも相談せず、被害公表もしない、隠れたインシデントも多数存在しているからだ。

そんな中で確実に言えることは、ランサムウェア攻撃の登場により、これまで攻撃に遭遇する可能性が比較的低かった組織も標的になる可能性が高まっているということだろう。

多くのサイバー攻撃では、「攻撃者側が価値を見いだす情報」が狙われる。顧客の個人情報や知的財産、暗号資産などの窃取を目的としているため、こうした情報を保有していたり、サービスを提供している組織が“被弾しやすい”層だといえる。

すると、個人情報を大量に保有していない、先端技術のようなものも扱ってない企業は「われわれは狙われないだろう」と考える。確かに、これまでは価値のある情報を保有する組織よりは確率論的に“被弾”率は低かったと思う。

しかし、ランサムウェア攻撃は、攻撃者にとって価値があると思う情報を狙いに来るのではなく、「被害組織にとって価値があると思う情報」を人質にする戦術のため、これまでのような「狙われることがない組織」というのが理屈上存在しなくなってしまった。