情報漏洩に備える――ダメージを抑えるための心得7カ条

セキュリティ責任者が実践すべきこと、すべきでないこと

（2007年07月12日）

情報漏洩を引き起こした企業が受けるダメージは大きい。しかし、事件発生直後の対処のしかたによっては、そのダメージを最小限に抑えることができる。ここでは、情報漏洩発覚時の事後処理において、セキュリティ責任者が実践すべきこと、および実践すべきでないことを紹介する。

カーラ・ガレストン
Network World オンライン米国版

　顧客企業や自社従業員に関する個人情報および財務データを保有している、あるいは知的財産を電子データで保管している組織は、情報漏洩の可能性が十分にあることを認識しなければならない。規模や業種を問わず、あらゆる企業がデータ盗難のターゲットになっていると、多くのセキュリティ専門家は警鐘を鳴らしている。

　専門家は同時に、ダメージを最小限に抑えるとともに顧客の信頼を迅速に回復するための対策を備える必要があると力説する。米国のセキュリティ・サービス企業、セキュリティ・コンストラクツのマネージング・ディレクター、トム・バウアーズ氏は、「データ盗難事件などへの対処方法を『用意している』のと『いない』とでは、被害にあったときのダメージが全然違う」と、事後処理の重要性を説く。

　本稿では、情報漏洩が発覚した直後の対処で企業のセキュリティ責任者が実践すべきこと、および実践すべきでないことを紹介する。この「7カ条」は、実際にサイバー攻撃対策に携わったり、被害にあった企業から緊急支援を要請されたりなどの経験を持つコンサルタントやセキュリティ専門家らへのインタビューを基にしている。

その1：事実を確認し、問題を封じ込めよ

　情報漏洩を引き起こした企業は、過剰ストレスと混乱に陥ることが多い。そのため、特に発覚直後は、事態を正確に把握する作業を忘れがちになる。

　情報漏洩の可能性が生じたら、何はともあれ、それが事実かどうかを確認することが必要だ。漏洩の可能性を示す証拠（クレジットカードの不正使用警告を受けた顧客からのクレームや、機密データへの不正アクセスを示すサーバ・ログなど）が見つかりしだい、セキュリティ責任者はITチームとともに情報漏洩の事実確認を行うと同時に、可能であれば暫定的な解決策を講じる。

　「まずは問題を封じ込めなければならない。これはネットワークやシステム管理者の管轄であり、セキュリティ責任者は彼らの仕事を尊重すべきだ」と、米国の非営利団体ISC2（International Information Systems Security Certifications Consortium）のエグゼクティブ・ディレクターで、元チャールズ・シュワッブのCSO（最高セキュリティ責任者）、エド・ザイトラー氏はアドバイスする。

その2：“犯罪現場”をいじるな

　情報が盗まれたコンピュータを改変することなく、とりあえずセキュリティ・ホールだけをふさぐことが可能かどうか。これは、現場の保持という意味で非常にやっかいな作業だ。可能でなければ、セキュリティ専門家の助けを求めるべきである。コンピュータをむやみに修正すると、漏洩の原因が特定できなくなることがあるので注意しなければならない。

　こうした事態に備えて、あらかじめ外部のセキュリティ専門家と契約を結んでおくことが望ましい。異常事態への対処が迅速に進み、結果的に企業にプラス効果をもたらすからだ。

　米国サイバートラスト（今年5月にベライゾン・ビジネスが買収を発表）の調査担当バイスプレジデント、ブライアン・サーティン氏は、「われわれから見て簡単に解決できそうなサイバー攻撃事件でも、被害を受けた企業が“犯罪現場”を混乱させてしまうために捜査当局が起訴できないことがしばしばある」として、問題のシステムをきちんと保持することの重要性を訴えている。

その3：他部門と緊密にコミュニケーションをとり、彼らを信頼せよ

　ログ・ファイルを細かく調べている段階で、他部署の人間にあれこれ指示されるのは、正直言ってあまり気分がよいものではない。しかし、2次被害を避けるという意味で言えば、法務や人事、広報、マーケティングなどの主要部門に対しては、なるべく早い段階でアラートを発したほうがよい。

　また、事態の収拾を図るうえでは、各部門のリソースをフルに活用すべきである。必要に応じて、他部署の人間に作業の一部を任せるわけだ。そうしたほうがスムーズに解決できる場合が多いと、コンファレンシング＆コラボレーション・サービス・プロバイダーであるウェブエックス（こちらもシスコシステムズが今年3月に買収を発表）のCSO、ランディ・バール氏は指摘する。

　通常、情報漏洩事件の事後処理は、顧客への警告、プレス・リリースの発行、捜査当局への協力、場合によっては訴訟にまで及ぶ多面的なプロセスを要する。そのため、使えそうなリソースはすべて使うべきだとバール氏は力説する。「セキュリティは、100％保証できるたぐいのものではない。したがって、自分が掲げたセキュリティ・プログラムで（すべての）問題に対処するという考えは捨てるべきだ」（同氏）

その4：守りの姿勢に入るな

　パートナー企業のセキュリティ事件で対策を支援した経験を持つ、ある金融サービス企業に勤務する調査担当マネジャーによると、大抵のセキュリティ責任者は、漏洩事件によって自分のキャリアが台無しになることを危惧し、守りの姿勢に入りがちになるという。

　そうした姿勢では得られるものが少ないと同氏は言う。「オープンな姿勢と協力の精神で前向きに臨むことこそ、プロフェッショナルのあるべき姿だ」と同氏は強調する。

その5：役員への事実説明を怠るな

　セキュリティ責任者の中には、事件の詳細を事細かに役員に説明する必要はないと考える向きもあるだろう。しかし、役員が漏洩事件の責任を問われる可能性もあるので、彼らにも事実を把握しておいてもらう必要がある。

　セキュリティ・コンストラクツのバウアーズ氏は、「情報漏洩のニュースを頻繁に目にするエンドユーザーはこの種の事件に多少マヒしつつあるかもしれないが、CIOは逆にどんどん神経質になっている」として、セキュリティ基盤の整備にコストを注ぐ企業が増えていると語る。

　「企業の役員らは、自社の株価や（自分たちの）給与が悪くなることを恐れて、各種のプライバシー保護法に準じたセキュリティ対策に躍起になっている」（バウアーズ氏）

その6：顧客、従業員、パートナーとのコミュニケーションに誠実であれ

　情報が漏洩したことを、いかに顧客や従業員、パートナー、そして社会に伝えるか。これが、組織の信頼回復に向けた第一歩である。決して隠そうとはせず、誠実な態度で事実を伝えなければならない。

　重要なのは、細かすぎる説明を避けつつ、公正な視点から事件の概要を公表することだ。盗まれた情報が犯罪に使用されたとする根拠がない場合は、きちんとそう伝えるべきである。

その7：事実を確認する前に公表するな

　事件に関する説明が間違っていたら、社会的信用は瞬く間に崩れ去る。小売大手TJXカンパニーズのケースがまさにそうだった。TJXが当初公表した情報（盗まれたデータ量と盗難時期）は必ずしも事実ではなかったため、被害規模を調査していた同社のセキュリティ担当者たちは、仕事そっちのけでマスコミへの対応に追われることになった。

　「TJXは、やってはいけない過ちを犯してしまった」と、前出の調査担当マネジャーは対応のまずさを指摘する。言うまでもないことだが、一度でも信用を失うと、それを取り戻すのは並大抵のことではない。

(Computerworld.jp)