サイバー攻撃、被害公表のあり方に「正解」の道筋 被害組織の批判ではなく対応の適切な評価へ
東洋経済オンライン / 2024年4月5日 8時0分
個人にとって大事な思い出である写真、企業の会計データ、在庫の管理システム、そういったものが“人質”に取られるのだ。そのため病院や学校、中小企業など、これまでターゲットになりにくかった組織のランサムウェア被害が相次いでいる。
なぜ「被害の公表」は難しいのか?
こうして誰もがインシデント対応を行う確率が高まっている中で、どのように被害を公表するかは極めて難しい問題だ。
なぜなら、被害情報を伝える相手、伝わる相手先がさまざまで、被害情報の受け手側が求めている情報もそれぞれ異なっているからだ。
「サイバー攻撃被害に係る情報の共有・公表ガイダンス」は、ここに少しでも道筋をつけようとトライしたものである。
「被害の開示」と言っても、被害公表だけでなく、法令に基づく所管省庁への報告・届け出、上場企業であれば適時開示、個人情報漏洩時には影響がおよぶ顧客等への個別通知、取引先への個別連絡など、相手方に応じてさまざまな目的、手段、タイミング、内容のものがある。
さらに公表のタイミングや内容については、攻撃者に利するようなものにならないよう警戒が必要だ。
例えば、攻撃者の目的が、企業が持っている先端技術情報だったとしよう。ただ、侵害拡大経路で、たまたま個人情報が保存されていたシステムを経由したとする。
こうなると、インシデント対応としては、まず個人情報保護法に基づく速報対応(3~5日以内)と、影響を受ける個人などへの通知または公表を行うことになる。
他方で、今回攻撃に遭った「製品Aの脆弱性を悪用する標的型サイバー攻撃の可能性について」と指摘するレポートをセキュリティ専門企業が公表していたとする。
すると、別の第三者が「被害企業は、製品Aを脆弱なまま使っていたのではないか。もしかしたら、セキュリティ専門企業が指摘していた標的型サイバー攻撃に遭って、個人情報だけではなく機微情報が漏洩した可能性がある」と考える。
なぜなら最近では、ShodanやCensysといったIoT検索サービスを使えば、どの組織がどういう製品をどういう状態でインターネットに面して稼働させているかがわかるからだ。
被害組織は、あくまで法令に基づく個人情報漏洩事案の公表を行っただけなのに、ステークホルダーやメディアは「脆弱性を悪用されて、もっと社会的に大きな影響のある機微な情報を窃取されたのでは?」と推測する。つまり双方で被害情報の扱い方にギャップが発生してしまうのだ。
情報の非対称性を埋めること
この記事に関連するニュース
-
KnowBe4の医療機関のサイバーセキュリティ危機にスポットライトを当てる新しいレポートを提供
PR TIMES / 2024年6月29日 12時15分
-
【KADOKAWAシステム障害で注目】日本企業を身代金ウイルスで攻撃するハッカー集団の幹部を直撃取材「俺の正体を突き止めたら100万ドルやるよ」
NEWSポストセブン / 2024年6月28日 16時15分
-
セキュリティーでもAI活用の流れが加速、市場と脅威の最新動向を解説
週刊BCN+ / 2024年6月20日 9時0分
-
今押さえておきたいサイバーセキュリティ用語 第9回 ランサムウェア攻撃の侵入経路トップの脆弱性 - 放置は厳禁
マイナビニュース / 2024年6月19日 13時33分
-
「当社の情報が漏えいしました」──世間へどう発表すべき? タイミングは? セキュリティ専門家に根掘り葉掘り聞いてみた
ITmedia NEWS / 2024年6月12日 10時0分
ランキング
-
1サクランボ王国・山形県に異変 6月の暑さで収穫減、対策急務
共同通信 / 2024年7月6日 16時15分
-
2FRBの利下げ開始「9月」の見方強まる…6月の米雇用統計、人手不足の緩和傾向で
読売新聞 / 2024年7月6日 22時30分
-
3最悪、〈和式トイレ〉で助けを求める事態にも…老後の健康維持のために取り入れておきたい「超簡単な習慣」【60代の人気エッセイストが助言】
THE GOLD ONLINE(ゴールドオンライン) / 2024年7月7日 10時0分
-
4《旭川女子高生殺害》事件直前に助け求めたコンビニ店を責める正義の暴走 他のコンビニ店員「時給1000円とかでそこまで担うのは勘弁」
NEWSポストセブン / 2024年7月7日 16時15分
-
5ミニストップ“大量閉店”でもスイーツ人気は底なし!? 「ソフトクリーム」や「ハロハロ」がいつの間にか遂げた進化
集英社オンライン / 2024年7月6日 19時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)