サイバー攻撃､被害公表のあり方に｢正解｣の道筋 被害組織の批判ではなく対応の適切な評価へ

個人にとって大事な思い出である写真、企業の会計データ、在庫の管理システム、そういったものが“人質”に取られるのだ。そのため病院や学校、中小企業など、これまでターゲットになりにくかった組織のランサムウェア被害が相次いでいる。

なぜ「被害の公表」は難しいのか？

こうして誰もがインシデント対応を行う確率が高まっている中で、どのように被害を公表するかは極めて難しい問題だ。

なぜなら、被害情報を伝える相手、伝わる相手先がさまざまで、被害情報の受け手側が求めている情報もそれぞれ異なっているからだ。

「サイバー攻撃被害に係る情報の共有・公表ガイダンス」は、ここに少しでも道筋をつけようとトライしたものである。

「被害の開示」と言っても、被害公表だけでなく、法令に基づく所管省庁への報告・届け出、上場企業であれば適時開示、個人情報漏洩時には影響がおよぶ顧客等への個別通知、取引先への個別連絡など、相手方に応じてさまざまな目的、手段、タイミング、内容のものがある。

さらに公表のタイミングや内容については、攻撃者に利するようなものにならないよう警戒が必要だ。

例えば、攻撃者の目的が、企業が持っている先端技術情報だったとしよう。ただ、侵害拡大経路で、たまたま個人情報が保存されていたシステムを経由したとする。

こうなると、インシデント対応としては、まず個人情報保護法に基づく速報対応（3～5日以内）と、影響を受ける個人などへの通知または公表を行うことになる。

他方で、今回攻撃に遭った「製品Aの脆弱性を悪用する標的型サイバー攻撃の可能性について」と指摘するレポートをセキュリティ専門企業が公表していたとする。

すると、別の第三者が「被害企業は、製品Aを脆弱なまま使っていたのではないか。もしかしたら、セキュリティ専門企業が指摘していた標的型サイバー攻撃に遭って、個人情報だけではなく機微情報が漏洩した可能性がある」と考える。

なぜなら最近では、ShodanやCensysといったIoT検索サービスを使えば、どの組織がどういう製品をどういう状態でインターネットに面して稼働させているかがわかるからだ。

被害組織は、あくまで法令に基づく個人情報漏洩事案の公表を行っただけなのに、ステークホルダーやメディアは「脆弱性を悪用されて、もっと社会的に大きな影響のある機微な情報を窃取されたのでは？」と推測する。つまり双方で被害情報の扱い方にギャップが発生してしまうのだ。

情報の非対称性を埋めること