サイバー犯罪の脅威に対するクライシスマネジメント第6回「インシデント発覚時の危機対応」

これまで述べたような対策にも関わらず、情報窃取などインシデントが発覚した場合、ウイルス駆除やデータ・システムの復旧といった対処を行うと同時に、速やかに被害状況や攻撃の実態を把握し、ステークホルダーや関係当局に対して報告を行う必要があります。

特集

2012.6.5 Tue 8:00

ソニー米国子会社へのサイバー攻撃による史上最大規模の情報漏えいや、イランの原子力施設を対象としたサイバー攻撃にみられるように、昨今では、特定の団体、組織を標的とし、高度な技術を用いて徹底的な攻撃を仕掛けるケースが増加しており、経営に対してより深刻な影響を与える脅威となっています。一方で、管理対象としての情報システムは、クラウドコンピューティングやスマートフォンの普及などにより、複雑さを増しており、サイバー攻撃への対処がより困難な状況になりつつあります。

本稿では、昨今のサイバー犯罪の傾向とグローバルの動向を踏まえ、経営者がどのように深刻化するサイバー犯罪の脅威に対して向き合い、対応すべきかについて考察します。

2．サイバー犯罪の脅威へどう対処するか

これまで述べた通り、ますます高度化するサイバー攻撃の脅威に対して、入口で完全に防御する事は事実上不可能な状況となっています。従来のセキュリティ製品やソリューションは、入口での防御、検知を目的としたものが中心ですが、こうした製品を駆使して適切に運用しさえすれば、サイバー攻撃の侵入を完全に抑えられると考えるのは、幻想でしかありません。

もちろん、こうしたセキュリティ製品の適切な導入・運用は、入口対策として攻撃の防御・検知を行う上で必要不可欠ですが、サイバー攻撃の脅威から企業をより確実に守るためには、これに加えて、「攻撃の侵入を許した後に、いかに情報窃取やシステムの停止といったインシデントの発生を防ぐか」というリスクマネジメントの視点、「インシデントが発生した場合にいかに早期に発見し、適切に対処するか」といったクライシスマネジメントの視点が重要となります。

（3）インシデント発覚時の危機対応
これまで述べたような対策にも関わらず、情報窃取などインシデントが発覚した場合、ウイルス駆除やデータ・システムの復旧といった対処を行うと同時に、速やかに被害状況や攻撃の実態を把握し、ステークホルダーや関係当局に対して報告を行う必要があります。インシデントが実際に起こってしまっても、適切に対応する事で、被害を最小限に抑えたり、レピュテーションを維持する事が可能です。

1) 危機対応態勢の組成

インシデントが重大な影響をもたらす場合、経営者は、その時点で収集された情報を正確に判断し、迅速に的確に意思決定を行う必要があります。そのためには、情報システム部門に限らず、経営陣、法務、広報、人事と、様々な部門の知見が必要となります。また、弁護士やフォレンジック専門家などの外部専門家の協力も必要不可欠です。日頃から、インシデントが発覚した場合の指揮命令系統および各部門、担当者、外部専門家の役割を明確にし、リスクと状況に応じて、どの範囲を巻き込んで対応するかを定義し、準備しておくことが重要です。

2) 証拠データの保全

窃取されたデータの範囲などの被害や、窃取経路など攻撃の実態を調査するためには、ログや、被害を受けた可能性のあるPC、サーバなどの証拠データの保全は必要不可欠な手続きです。攻撃によっては、発見を遅らせるために、情報の窃取後にウイルス自身を消去したり、ログや窃取したデータの痕跡を消去する場合があります。また、データの種類によっては、日常業務の中で時間の経過とともに消失していくものもあります。それゆえ、あらゆる証拠データは速やかに保全される必要があります。

保全を行う対象としては、第一にPCやサーバ、ホスト、ネットワーク機器などのログが想定されます。第二に、場合によっては情報窃取に利用された可能性のあるPCを対象に、ウイルスが消去したり暗号化したデータの復元や復号など、デジタルフォレンジックによる分析を行う事を想定し、ハードディスクのイメージコピーを作成する必要があるかもしれません。こうした証拠データの保全にあたっては、証拠能力を棄損しないよう、証拠保全に必要な機器及び手続きを事前に準備しておくか、証拠保全を正しく実施することのできる専門家に委託することが望ましいでしょう。

社内で調査を行う場合、特に気をつけるべき点は、証拠保全を行う前に、調査対象となる情報機器（感染経路、攻撃経路、情報流出経路となった可能性があるPCやサーバ類）上で、調査情報の共有、分析作業、事務作業などを行ってはいけないということです。例えば、PC上から発見された窃取されたデータの断片が、攻撃や流出経路の形跡なのか、調査分析時に保存されたものか、判別がつかなくなり調査の混乱を招くことになります。

3) 調査

インシデント発生時、一般的には以下のような目的のために、調査を実施します。

・被害状況の把握
・攻撃の経路や手口、情報窃取の経路、攻撃者の特定など、インシデントの実態把握
・社外への報告や訴訟に備えて、証拠の収集と分析と事実認定
・回復措置、改善措置に必要な情報の把握
・原因分析や問題点の把握など、再発防止に必要な情報の収集と分析

調査においてまず最優先すべきは、被害状況の把握です。特に、顧客や社外の関係者への影響が想定される被害、具体的には、窃取された個人情報や、取引先の機密情報の範囲などを、正確に特定する必要があります。

被害状況の把握に続いて、攻撃の実態を把握するための調査を行います。こうした調査を通じて収集された情報、証拠および確認された事実は、外部への報告、警察への情報提供、訴訟、回復措置、再発防止などの様々な危機対応に不可欠な情報源であり、意思決定の拠り所となるものです。

4) 外部への報告

顧客や取引先企業など、外部に被害が及ぶ可能性がある場合は、可及的速やかに被害者となり得る顧客や関係各所に対して、被害状況と想定されるリスクを併せて報告し、注意喚起を行います。特に、カード情報の窃取など、被害者がインシデントの発生を早く知ることでカードの停止や交換など自己防衛が可能なケースは、一刻も早く報告をする必要があります。このようなケースでは、報告が遅れることで被害が拡大し、対応について重大な責任を問われることになりかねません。

他方で、窃取された情報が、ファイル共有ネットワーク上など誰でもアクセス可能な場所へ流出している場合は、データを完全に回収することは極めて困難ですので、流出事故の公表を行った場合、さらに情報が拡散してしまうリスクがあります。この場合は、流出情報の回収や疑似キーの散布（註）など拡散防止措置を急ぎ、状況に応じて報告のタイミングを検討すべきです。

（註：ファイル共有ネットワーク上に、偽のファイルキー情報（誰がどのファイルを持っているかという情報）を拡散させ、本物の情報のダウンロード成功率を下げる手法）

インシデントの報告における最大のジレンマは、「情報の正確さ」と「報告の迅速さ」がトレードオフの関係にあることです。先に述べた通り、実害を被る可能性のある被害者に対しては、可及的速やかに報告する必要があります。しかし、インシデントの発生が認識されてから正確な被害実態が把握されるまでには、相応の時間がかかります。被害の範囲すら全く不明な状態では、報告すべき対象すら明らかになりませんし、拙速に間違った情報を報告してしまっては、企業の信頼を大きく損ないます。一方で、正確を期すため、発覚から報告までに時間がかかり過ぎた場合、情報の隠蔽や対応の遅れを疑われるなど、透明性、誠実性の欠如として受け取られかねません。

3．おわりに

セキュリティ専門家からは、昨今多発しているサイバー攻撃はほんの氷山の一角にすぎず、多くの日本企業は、攻撃を受けている事自体を公表していないとする意見も聞かれます。これまで起こり得ないと思われていたようなクライシス、つまりサイバースペースにおける「ブラックスワン」が、いつ自分の会社に起こっても不思議ではない状況なのです。

もし現代の事業環境で、新しい情報技術の利便性、知的財産、レピュテーション、これらのうちどれか一つでも大きく損なわれたとしたら、その企業が生き残ることはほぼ不可能でしょう。それゆえ、企業は、絶え間なく進化を続けるサイバー犯罪の脅威から、企業活動の源泉であるこうした無形の資産を守るために、あらゆる事態を想定し、経営レベルでサイバー犯罪の脅威に対して積極的に取り組んでいくことが重要です。

（堀田知行）

著者略歴：株式会社KPMG FAS　フォレンジックサービス部門　ディレクター
2005年、KPMG FAS入社。デジタルフォレンジックの技術を用い、情報漏えい、インサイダー取引、資金横領・粉飾などの不正調査および危機対応支援を担当。また、インテリジェンス（情報分析技術）、データ分析技術、IT知識を活かし、M&Aにおける戦略評価、競合分析、ITデューデリジェンス、企業分割・統合支援などにも従事。KPMG入社前は、株式会社電通国際情報サービスにて、製造業向けコンサルティングおよび戦略企画立案に従事。慶応義塾大学環境情報学部卒業