被告:CISO ~ 実例で考える CISO が訴訟されるリスク | ScanNetSecurity
2024.07.20(土)

被告:CISO ~ 実例で考える CISO が訴訟されるリスク

 Uber はサイバー攻撃の事実を認識しながらそれを公表せず、バグバウンティプログラムで処理しようとした。サイバー攻撃事案では SEC や監督省庁への報告義務がある。陪審員はこれらの点などを重大としてサリバン氏を有罪とした。裁判では、Uber 従業員、サリバン氏の部下だけでなく、攻撃を行ったハッカーが証言台に立ち証言を行った。バグバウンティプログラムの賞金と引き換えに、攻撃やデータの秘匿など特別な NDA を交わしたとされる。

研修・セミナー・カンファレンス
Uber の元 CSO への 3 年間の保護観察と罰金 5 万ドルの支払いを命じた判決(https://www.justice.gov/usao-ndca/pr/former-chief-security-officer-uber-sentenced-three-years-probation-covering-data)
  • Uber の元 CSO への 3 年間の保護観察と罰金 5 万ドルの支払いを命じた判決(https://www.justice.gov/usao-ndca/pr/former-chief-security-officer-uber-sentenced-three-years-probation-covering-data)
  • Uber のサイバー攻撃では、CISO による隠ぺいが裁判となった(ステファン・レイノルズ氏)
  • Equifax CIO はインサイダー取引
  • CISO は、さまざまな可能性を考慮し、法務部とのコミュニケーション、ステークホルダーとの連携すること。文書化・記録は非常に重要(ニック・メルケル氏)

 CISO はセキュリティインシデントやサイバー攻撃において、陣頭指揮をとったり、施策の責任を負う立場にある。役員として経営に対する一定の権限、発言力を持つが、対応を間違えると裁判の被告になることもある。

 CISSP 他の資格を持つ弁護士、ステファン・レイノルズ氏とニック・メルケル氏は、「Uber の情報漏洩隠蔽」「SolarWinds へのウェルズ通知(註)」「Equifax のインサイダー取引」の事例をもとに、企業がかかえるサイバー犯罪がらみの訴訟リスクに関するセミナーを行った。

 (註)ウェルズ通知:SEC(米国証券取引委員会)が個人または企業に対して法的措置を検討していることを通知するもので、SEC が捜査を完了し法的措置を取る必要があると判断した場合実施される

 セミナーは 2023 年 Blackhat USA 2023 で行われたが、現在もケーススタディとして重要な情報となる。

● 原告:アメリカ合衆国 - 被告:Joseph Sullivan(Uber CSO)

 2020年、Uber の CISO ジョセフ・サリバン氏が司法妨害と重罪隠蔽の罪で起訴された。2016 年から 2017 年にかけて発生した情報漏洩事件について、被害の隠蔽工作が行われたというものだ。

 司法妨害は、係争中の裁判において、被告はそれを知っていて、故意に妨害または不正行為を行うことで成立する。重罪の隠蔽は状況に依存する(レイノルズ氏)。だが、米国でも、児童虐待のような例以外で、犯罪や違法行為を見逃す、見て見ぬふりをするだけで罰せられることはない。積極的な隠蔽や偽装、犯罪補助が必要となる。

 Uber は、サイバー攻撃の事実を認識しながらそれを公表せず、バグバウンティプログラムで処理しようとした。サイバー攻撃事案では、SEC や監督省庁への報告義務がある。陪審員は、これらの点などを重大として、サリバン氏を有罪とした。裁判では、Uber従業員、サリバン氏の部下だけでなく、攻撃を行ったハッカーが証言台に立ち証言を行った。バグバウンティプログラムの賞金と引き換えに、攻撃やデータの秘匿など特別な NDA を交わしたとされる。


《中尾 真二( Shinji Nakao )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. ハッカーの OSINT 活用法 ~ 日本ハッカー協会 杉浦氏講演

    ハッカーの OSINT 活用法 ~ 日本ハッカー協会 杉浦氏講演

  2. 自動車サイバーセキュリティコンテスト「Automotive CTF Japan」新たに開催

    自動車サイバーセキュリティコンテスト「Automotive CTF Japan」新たに開催

  3. 開発元にソフトウェアの製造責任を負わせるのは合理的?

    開発元にソフトウェアの製造責任を負わせるのは合理的?

  4. Microsoft Defender に擬装しマルウェアを歓迎する攻撃ツール

  5. 「経産省 営業秘密官民フォーラム」IPA 資料公開、内部不正対策ほか

  6. クラウドへ攻撃受け苦節11年、CrowdStrikeがクラウドのセキュリティセミナー開催

  7. 【オフィスセキュリティEXPO】「ビスコ」をコンパクトな収納サイズで長期保存可能に(江崎グリコ)

  8. クラウドストライク鈴木滋が語るCrowdStrike Falconへの製品愛

  9. LINEヤフー社 Digital Crime Unit の取り組みほか ~ フィッシング対策セミナー講演資料 5 本公開

  10. ADCベンダのDDoS対策とWAFの優位性とは(F5ネットワークスジャパン) [Security Days 2017インタビュー]

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×