情報漏えいの発生――その時になすべきことは？：インシデントと戦うCSIRT（2/2 ページ）

[ITmedia]

なぜ意思決定を急ぐのか

　前回紹介したように、シーサートによるインシデント対応の肝は「意思決定」だ。情報漏えいならば、特に「意思決定の迅速さ」が求められる。事実が発覚した後、関係者へ事実関係を的確かつ迅速に通知できるかどうかによって大きく変わる。

　例えば顧客情報が漏えいした場合に、その事実と漏えいした内容がどのようなものであるのかという情報を、一刻も早く該当する顧客へ知らせなければならない。これは漏えいした情報の悪用を防ぐことや被害を最低限に抑えることが主な目的となるが、企業イメージにも大きく関わってくるのである。

　事実関係の確認に手間取ったことで顧客への告知が遅れ、その結果として二次的な被害が起きれば、企業は何らかの形でその責任を取る必要を予想しなくてはいけない。仮に漏えいの事実を隠ぺいすれば、それが後になって発覚すると企業に対する顧客の信頼は地に落ちるだろう。

　また、単純に告知が早ければいいというものではない。顧客へ必要以上の不安や混乱を与えないためにも、まずは、いつどのような内容が漏えいしたのかという点を明確にした上で告知する。この「意思決定の迅速さ」の必要性を如実に示す対照的な事例が、2008年に韓国で起こった。

　この年は、韓国で史上最大規模といわれる情報漏えい事件が2件発生している。1件目は、2月に発生した大手オンラインショッピングサイト「Auction」の顧客1081万人の個人情報が漏えいした事件だ。2件目は、9月に大手石油会社「GS Caltex」の顧客1119万人の個人情報が漏えいした事件である。それぞれの事件で漏えいした約1100万人という数字は、実に韓国国民の5人に1人以上になるというものであり、その規模の大きさを物語っている。

迅速な対応は誠実に

　Auctionの事件は、何者かがサーバへ侵入したことによって情報が流出したものである。これに対し、GS Caltexの事件は内部犯行によるものであり、2つの事件自体を比較することはできない。しかし、情報漏えいが発覚した後の顧客対応が対照的だった。

　Auctionでは、2月に情報漏えいが発生して、その事実を会社として認識していたが、その事実を隠ぺいした。4月になって、ようやく顧客へ向けて発表したのである。この対応によって、Auctionに対する顧客の信頼は大きく失われ、社会から厳しい非難を浴びた。

　一方、GS Caltexの対応は迅速だった。事件が発覚した当日のうちに最初の記者会見を開き、漏えいの事実と漏えいした内容に関する情報を公開した。実は記者会見を開くことを決めた時点では漏えいした内容に関する分析が完了していなかった。そのため社内では完全に分析が終わるまで発表は待つべきだという意見もあった。

　しかし、最終的には被害の事実を一刻も早く被害者（顧客）へ知らせるべきだという見解が多数を占めた。分析作業の70％が終わった時点で記者会見を開いたのである。この迅速な対応は、韓国国内で「模範的対応」として評価されている。

　このように情報漏えいでのインシデント対応は、被害者への迅速かつ的確な情報開示が「肝」となる。次回は、既に活動している国内のシーサートを取り上げ、設立や設置に至った背景、社内における位置付けなどを紹介する。これからシーサートを作ろうと考えている企業にとって、参考情報としていただきたい。

過去のセキュリティニュース一覧はこちら