情報漏えいの発生――その時になすべきことは？：インシデントと戦うCSIRT（1/2 ページ）

企業が直面する最大のセキュリティ課題が「情報漏えい」であり、実際に起きれば適切かつ確実な対応が求められる。情報漏えい事故をモデルケースに、シーサートが果たす役割をみていこう。

[ITmedia]

本記事の関連コンテンツは、オンライン・ムックPlus「セキュリティ事故に備えるシーサート構築術」でご覧になれます。

　企業にとって最も差し迫ったセキュリティ上の脅威であり、対応が急がれるインシデントが「情報漏えい」だ。特に顧客の個人情報が漏えいした場合、メディアが大きく取り上げて、世間の注目を集めてしまうことから、対応は慎重かつ的確に行わなくてはならない。対応に失敗すれば、企業が受けるダメージは計り知れないのだ。今回は社内の機密情報が漏えいした場合の対応フローとシーサートの活動をみていこう。

（1）インシデントの検知／連絡の受け付け

　情報漏えいのインシデントは、自社の監視システムやデータへのアクセスログなどから発生を検知することもあるが、多くの場合、外部の第三者からの情報提供や通報によって明るみになる。

　重要なことは、そのような通報を受け付ける窓口を設置して、それを外部に周知させることである。窓口に関する情報を一般に公開することが難しい場合、情報漏えいに関する情報を提供してくれる可能性がある外部のシーサートなどに知らせる。この場合、前回言及した「コミュニティー」を使うといい。

　窓口は受け付けた情報を社内の必要な関係者へ速やかに知らせる。このための連絡手順を事前に整備し、その手順が正常に機能するかを随時、予行演習などで確認する。

(2)トリアージ

　窓口から渡された情報に基づいて、自社で対応すべきインシデントかどうかを確認する。今回の例では、本当に自社の機密情報が漏れたのかを第一に確認する。実際には自社の名前が含まれているだけで、自社の機密に関わる情報自体は含まれていなかったという場合もある。そのため、「機密情報」と判断するための基準を事前に定めておかなければならない。

　もし分析に必要な情報を十分に持ち合わせていない場合は、必要に応じて自ら情報収集をしてもいいし、情報提供者に対して追加の詳細情報を求めてもいい。トリアージの段階で最低限どの程度の情報が必要か、また、情報が不足しているならば追加情報を収集する方法について、事前に基準や手順を決めておくことが望ましい。

（3）レスポンス

1.分析

　トリアージの段階で一次分析した結果が正しいかどうか確認し、インシデントの内容を詳細に分析する。ここで分析する項目には以下のようなものがある。

• 漏えいした（と推定される）時期
• 漏えいした内容
• 漏えいした経路

　特に漏えいした時期と内容は優先的に調べなければならない。これは漏えいした内容を悪用された場合の被害を防ぐことや、起きてしまった被害を最低限に抑えるために、一刻も早く必要な情報となるからだ。

　例えば、顧客の個人情報としてクレジットカード番号が漏えいしたとする。この場合、該当する顧客へクレジットカード番号が漏えいしたことを知らせることで、その顧客はクレジットカード止めるなどの対応ができる。さらに漏えいした時期が判明すれば、クレジットカードを止めるまでの間にクレジットカードが悪用されたかどうかを確認することも可能である。

　このほかにも一般に公開する前の情報が漏えいしたのであれば、それが悪用されるよりも先に一般公開してしまうことで、機密情報であることの価値を失わせるといった対応ができる。

2.対応計画の策定

　情報漏えいの場合、漏えいの事実を関係者へ速やかに知らせることが最優先になる。例えば顧客の情報が漏えいした場合、周知する方法には電子メールや郵便、Webサイトなどが考えられる。周知する内容は最低限として以下の項目が必要になる。

• 漏えいした内容と漏えいしなかった内容
• 漏えいが起きた時期と原因の概要（確認した範囲で）
• 想定される影響（被害）
• 詳細原因の調査結果と再発防止策を報告する予定日（目安は1カ月以内）
• 本件に関する連絡先（対応時間など）

　これらの発表内容をWebなどで公表した場合は、メディアから問い合わせが寄せられる可能性があるので、広報部門と慎重かつ念入りに連携しなければならない。具体的には、本件に関する電話などの問い合わせ受付窓口を設け、担当者が対応するために必要な問答集を用意する。漏えいした内容が顧客情報の場合は、多数の顧客からの問い合わせが殺到する可能性があるため、顧客と接する機会のあるカスタマサービスや営業などの部署にも同様の問答集を準備する。

　これらの作業と並行して詳細な原因などの調査や再発防止策を検討し、数週間以内をめどにまとめる。この間にもメディアやインターネット上の掲示板などをこまめにチェックして、自社の対応における評判を確認し、必要に応じて対応計画へ反映する。具体的な対応計画を策定する際には、経営層との情報共有が重要だ。シーサートは随時進捗を経営層へ報告し、必要に応じて経営層に判断をあおぐ。

3.関係者との連携

　漏えいの原因や経路の究明には自社だけで対応しきれない場合が少なくない。専門の業者への委託や、本件に関連している可能性のあるサイト――漏えいした内容を掲載している掲示板――の管理者やホスティング事業者などへ削除などの協力依頼をすることも検討し、必要に応じて実施する。

4.再発防止策の検討

　情報漏えいの場合、詳細な原因の分析とそれに基づく再発防止策を検討するのに時間がかかることが多い。しかし1カ月以内をめどに状況を取りまとめ、調査結果と再発防止策を関係者（被害を受けた顧客など）に告知するよう努める。

　意図的な内部犯行を除けば、多くの情報漏えいは事前に定められたセキュリティポリシーが適切に運用されていないために発生している。セキュリティポリシーを見直すことも大事だが、それだけではなく、ポリシーを順守させるための運用方法についても見直しを検討すべきである。情報漏えいが起きれば企業にどれほどの被害が発生するか分析・予想し、その結果から社員にポリシー順守の必要性や情報管理の重要性を啓発していくことも重要だ。

（4）報告と情報公開

　関係者（被害を受けた顧客など）への周知以外にも、最近では何らかの情報漏えいが発生すると、その事実と結果、再発防止策などを公開することが求められる傾向にある。しかし、ファイル交換（共有）ソフトウェアを介した情報漏えいは、必要性がない限り、情報を一切公開しないことが望ましい。ファイル交換ソフトウェアによって流出したデータは、回収がほぼ不可能であり、さらに流出した事実を公表することによって、そのデータに対する関心が高まり、かえって拡散を助長する恐れがあるからだ。

　事実を公開すべきかどうかは、広報とともに冷静に判断する。公開する場合は、メディアなど外部からの問い合わせに対応できるよう問答集を用意するといいだろう。これとは別に、情報漏えいの事実を監督省庁への届け出ることが必要な場合もある。どのような場合に届け出なければならないのかを把握しておかなければならない。