日本IBMの経験者が語る「情報漏えいの現場で何をすべきか」――後編：その時に動けるか（2/2 ページ）

[國谷武史，ITmedia]

インシデント対応から何を学んだか

　日本IBMが対応した事件は、事実の確認から公表まで約2カ月を費やした。漏えい先がファイル共有ネットワークであり、事実を公表してしまうことで漏えい情報を不正に入手したり、再放流したりしようとする「便乗犯」による被害拡大が懸念されたためだ。

　この間、同社では24時間体制でネットワークを監視しつつ、被疑者の特定と行動の抑止作業（要請や警告など）を進めていく。同時に関係機関と連携しながら、被害が想定される人々への説明やケアにも回った。

　特に被疑者とのやり取りでは、被疑者側がその内容をネットに公開したり、日本IBMや関係機関に対する批判をあおったりするなど悪質な行動を繰り返した。徳田氏は冷静に努めながらも、「被害を助長する行為を絶対に許してはならない」との強い信念で対峙したという。

　最終的に、被疑者がネットに放流したファイルの中にIBMが著作権を保有する資料が含まれていたことから、著作権法違反で刑事告発し、被疑者は逮捕された。被疑者の行動目的は、警察に対する恨みや金銭を脅し取ることであったことが、その後の報道で伝えられている。

　事件後に日本IBMは、業務委託における契約で情報セキュリティ対策や調査対応などに関する条項を大幅に見直した。多数のパートナー企業に説明して、契約を再締結している。また、業務の再々委託も禁止した。

「委託先が広がると統制ができなくなってしまう。調査をしようにも、関係先が遠くなればなるほど、証拠提供の協力を拒んだり、隠滅したり、逃亡したりする恐れが高まる」（徳田氏）

　業務委託における情報セキュリティ対策は、例えば、委託作業に使われるPCでは必ず最新の状態のセキュリティソフトを利用すること、IDやパスワードなどを適切に更新していることといった基本的な施策を含めて、セキュリティ要件を策定する。その要件が日々適切に順守されているのかも確実にチェックする。

　もちろん、それでもインシデントが発生するリスクをゼロにはできないが、徳田氏は少なくともリスク自体を大幅に低減することはできると話す。こうした取り組みは当たり前のことであるものの、それが守られないことでインシデントが起きるケースは少なくないよう。

　事件を通じて最も大きく変わったのは、「性善説」を前提とした対策から「性悪説」を前提する対策になったことだという。「インシデントが起きること前提に対応しなければならない。『大丈夫だろう』と安易に考えず、真実を把握し、被害を最小限に抑えることを最優先することが大事だ」（徳田氏）

　日本IBMでの事件以降、セキュリティインシデントに対する社会の意識は高まり、法令を含むさまざまな対策面の整備が進んだ。情報セキュリティは誰にとっても身近なテーマになったが、インシデント対応では高い専門性が必要とされるシーンは多い。

　徳田氏は現在、事件での経験を生かしてインシデント対応の整備を目指す企業のサポートへ日々取り組んでいる。「今では全国の警察や情報処理推進機構（IPA）、JPCERT コーディネーションセンター、セキュリティ企業といった専門機関が相談に応じられる。セキュリティについて不安がある場合、ぜひ専門家の力を活用していただきたい」（徳田氏）

インシデント発生後の対応で考えるべきポイント（徳田氏資料より抜粋）

事実の確認

真実を追求する。全容を解明し、推測を排除する

対応方針の早期決定

• 最悪の場合を想定する（被害者、顧客対応）
• 段階的な対応体制の確認（リソースの確保、緊急時対応の要請
• 初動対応（フロー）の定義化

外部機関や組織との情報共有と連携

• インシデント継続中の場合に自社技術で対応可能かどうか
• 調査や再発防止策の策定などが自社技術で対応可能かどうか