情報流出の対応は間違えないでほしい――ネットエージェントの杉浦氏（1/2 ページ）

企業の情報流出事故では被害の最小にすることが優先されるが、適切な事後対応を取らないケースが今なお多いという。事故対応の支援を手掛けるネットエージェント社長の杉浦隆幸氏にポイントを聞いた。

[國谷武史，ITmedia]

杉浦氏

　「情報の流出事故を100％防ぐのは難しい。適切な事後対応にもっと関心を向けてほしい」――ファイル共有ソフトなどが関係した情報流出事故の対応支援を手掛けるネットエージェントの杉浦隆幸社長は、企業の情報流出事故の問題点について、このように指摘する。同氏に事故対応におけるポイントを聞いた。

　情報流出の主な要因には、不正アクセスや関係者による意図的な持ち出し、ファイル共有ソフトのマルウェア感染、ノートPCやUSBメモリ、文書などの紛失などがある。特に犯罪行為やファイル共有ソフトが関係するものは社会的な関心の高さからマスコミの注目を集めやすく、企業の対応力が問われる。

　杉浦氏によれば、情報流出事故では特にマスコミへ公表するまでに適切な事後対応を講じることが重要であり、被害拡大を防ぐことが最も優先すべきポイントになるという。適切な対応策を講じないままに事件が大きく報道されれば、顧客などの関係者における被害が拡大し、企業の信用失墜といった経営的なダメージを招いてしまう。

　近年大きく報道されたケースでも、事故の事実を確認してから公表を急いでしまうことで被害が拡大した例が珍しくないという。「報道される事件は間違った対応の典型例でもあり、参考にすべきではない。事故によって何を最優先に守るべきか考えてほしい」（同氏）

　例えば、ファイル共有ソフトが原因となる情報の流出では、事故を知ったファイル共有ソフトのユーザーが情報を探し出そうとする。悪質なユーザーは該当する情報を見つけると別のファイル共有ソフトのネットワークへ情報を拡散させ、騒ぎがさらに広まるのを面白がるという構図だ。こうした愉快犯的な行為によって、流出情報に関係する人物や組織の大きな被害が受けることになる。

　杉浦氏は、事故が起きることを前提に「事故を発見する」「事後への対応」「再発の防止」を優先すべきであり、特に事後対応において被害を最小にさせることに注力すべきとアドバイスする。「何の情報がどれくらいの規模で、いつ流出したのかという事実を正確に把握する。それらをどのように調べるかを決め、専門家などに調査協力を依頼する。被害状況を含めて事実を確認したら、経営層を含めた関係者の意思統一を図り、被害を最小にする対策へ着手する。対策の有効性を確認し、公表する」（杉浦氏）

　被害を最小にする対策は、事前の調査をどれだけ正確に実施できるかが大切であり、外部の専門家の協力を得る場合には事実関係を深いレベルで共有して、方法を検討する。例えばファイル共有ソフトが原因となる場合は、流出に至った経緯から情報の拡散を封じ込める方法まで、関係者がこれらのプロセスを正確に把握しておく必要がある。

　杉浦氏が推奨する事後対応のプロセスは、情報流出に限ったものではなく、企業の対応方法としては常識的なものだろう。しかし、対応時間が長引けば「隠ぺいした」などと社会から非難を受けることもあり、被害対策よりも世間体を優先して先に公表してしまうケースが少なくないという。

　同氏は、「外部へ公表するまでに長くても1週間でこれらのプロセスをすべて完了しておくべきだろう。特にファイル共有ソフトに起因するものの公表は、悪質なユーザーに探させないためにも、週末を避けてほしい」と話す。