サイバー攻撃､被害公表のあり方に｢正解｣の道筋 被害組織の批判ではなく対応の適切な評価へ

このケースでは、制度上の課題や未公表被害の調査、報道等での扱いなど、さまざまな課題が複雑に組み合わさっていて、すぐに被害組織と被害情報を受け取る側との情報の扱い方のギャップを解消することは難しい。

だが、まずはそのギャップによる“摩擦”を減らせるのではないか。

例えば、昨年8月に内閣サイバーセキュリティセンターが攻撃被害を公表した際に、原因を「セキュリティ上の理由」により開示しなかった点に批判が出た。

十数年前であれば、そういう回答でもよかっただろうが、この間に社会全体のサイバーセキュリティへの知見は、さまざまな被害公表や報道により確実に高まった。だから、発表を見た多くの人の対応の「相場観」との間にギャップがあったのだろう。

あくまで筆者の個人的な考えだが、日本では2005年の個人情報保護法施行が大きなインパクトがあったため、サイバー攻撃被害の公表≒個人情報漏洩事故の公表というケースが多く、サイバー攻撃被害組織≒個人情報を漏洩させた組織という認識が潜在的に強いのではないか。

そうした背景が、いわゆる「被害組織批判」を強めてしまっている。サイバー攻撃の被害に遭ったにもかかわらず、オーディエンス（ステークホルダー、メディア、報道を見る人々など）には「被害組織」という認識が希薄で、どうしても被害組織は被害公表に消極的になってしまう。

インシデント対応の「相場感」ギャップを埋めるには

「ニワトリが先か、卵が先か」という議論になるが、より積極的な被害公表が多く行われるようになれば、「どういう種類の攻撃の場合、被害組織はどのくらいのスピード、内容で対応しているのか」という相場観がある程度醸成され、被害組織がとったインシデント対応に対して、より適切な評価がなされるようになるだろう。

現状では、被害組織とオーディエンスの間に情報の非対称性があり、適切な評価が難しい状態にある。この十数年でサイバーセキュリティへの理解度が高まったと言ったが、高度化かつ複雑化する攻撃に対してはまだまだ理解が追い付いていないのが現状だ。

また、ソフトウェア製品の脆弱性を悪用する深刻な攻撃被害が相次ぐ中、多くの企業では脆弱性が公表されても「じゃあ、どのくらいのスピードで修正対応すればいいのか」と判断に悩むケースが多いのではないか。

セキュリティ専門の機関からは「速やかに対応を」と言われるものの、実際のユーザー組織側では、システム停止による顧客や取引先への影響なども考えなければならず、難しい判断を迫られる。

それも被害組織から積極的な公表がなされることで「どういう脆弱性はどのくらいのスピードで悪用されるのか。どのくらいの速さで対応すれば間に合うのか」という知見が社会全体において蓄積されていけば、対応の相場観について、少なくとも今よりはその“解像度”が上がるのではないかと考える。

先に触れた通り、むやみやたらに開示しすぎると攻撃者に利することになったり、第三者の不利益を生んだりする恐れがあり、被害組織がインデント対応の際に参照できる「レファレンス」が必要だ。

まだまだ論点が数多く残る被害公表の問題だが、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」には組織が判断するためのポイントを可能な限り列挙して整理しているので、一読することをおすすめしたい。

佐々木 勇人：JPCERTコーディネーションセンター 脅威アナリスト