日本IBMの経験者が語る「情報漏えいの現場で何をすべきか」――前編その時に動けるか

万一の情報漏えい発生時、企業や組織にはどんな行動が求められるのだろうか。2008年に情報漏えい事件を経験した日本IBMに、初動段階でのインシデント対応におけるポイントを聞く。

» 2014年04月21日 08時00分 公開
[國谷武史,ITmedia]

 企業や組織にとって故意による情報漏えいは、いまも深刻な情報セキュリティリスクとなっている。Winnyなどのファイル共有ネットワークからサイバー攻撃、内部関係者の不正行為など、その時々で主な漏えい要因は異なるものの、事件や事故発生時における対応(インシデントレスポンス)は被害の最小化における鍵となっている。インシデントレスポンスにおける重要なポイントは何か――2008年の情報漏えい事件でインシデントレスポンスを担当した日本IBMの徳田敏文氏に話を聞いた。

日本IBMが経験した情報漏えい事件の概要

 2008年9月、日本IBMが受託した神奈川県教育委員会のシステム開発に関する資料がネットの匿名掲示板に投稿された。漏えい元は業務再委託先企業の関係者のPCで、このPCが「暴露ウイルス」に感染し、業務データがファイル共有ネットワークに流出。さらに、悪意のある人物が個人情報などを含むデータを「再放流」したり、日本IBMを挑発したりするなど、悪質な事態に発展。日本IBMはこの人物を追跡し、著作権侵害で刑事告発した。犯人は2009年6月に逮捕されている。


初動対応できるか否か

 企業ではこれまで情報漏えいにつながる脅威を未然に防ぐ対策(入口対策)に重点が置かれてきた。近年は脅威を完全に排除できないとの前提から、情報を漏えいさせない対策(出口対策)の必要性も提起される。ただ、両面の対策を講じても情報漏えいを完全に防ぐことはできない。万一の情報漏えい発生時に、当事者として適切に対応できる準備が不可欠だ。

 日本IBMが経験したこの事件は、当初に想定された情報漏えいの規模(約11万人分の個人情報など)があまりに大きく、ファイル共有ネットワークの関与や悪意のある人物の行動も注目され、社会的に大きな関心事となった。現在の情報漏えいの多くは、この事件とは対照的に密かに進行するケースが多いものの、徳田氏は情報漏えいが発覚した時の初動体制がその後の展開に大きく影響すると指摘する。

徳田氏 日本IBM GTS ITS セキュリティ・サービス担当部長の徳田敏文氏

「サイバー攻撃、マルウェア感染、情報漏えいの3大インシデントは、個別というより複合的に発生する。当社の場合もマルウェア感染がきっかけになり、情報漏えいにつながった。情報漏えいは最後に来るもので、最も影響が大きい」(徳田氏)

 情報漏えいインシデントは外部からの指摘で発覚する場合が多い。この時、まず必要なことが「情報が漏えいしている」という指摘が事実であるかを確認すること。指摘が、ねつ造やうわさ、推測であったりする可能性があるためだ。

 指摘が事実だと確認された場合、すぐ調査に着手する。漏えいした情報の内容や範囲を把握し、関係部署やプロジェクト、当事者を特定する。この時、一刻でも早く情報が関係する環境(コンピュータなどさまざま)を確実に保全しておくことも欠かせない。保全を怠った場合、関連するデータなどの状況が漏えい時点と変わってしまったり、関係者が証拠隠滅を図ったりする恐れもあり、その後の調査に影響する。

 日本IBMでの事件は、漏えいを疑われる情報の一部が「2ちゃんねる」に掲載されているとの指摘があった。当初はねつ造を疑ったが、検証結果から本物だと判明し、その時点で情報の保管元をある程度絞り込んでいったという。「漏えいしているとされる情報(の断片)は、情報全体のどこに該当するかを1つ1つ検証していく。該当する可能性が最も高い場所に置かれている全ての情報がその漏えいの最大範囲」(同氏)

 この「漏えい範囲」の特定は容易ではないケースもある。仮に、漏えいしているとされる情報の元々の置き場所が複数のシステムに跨るようなら、データは膨大な数に上る。その1つ1つを手作業で確認しなくてはならず、時間との勝負になってくる。漏えいした情報の内容・範囲を特定すると、それらの状況を分析して具体的な対応を決めていく。

 なお、企業が情報漏えいの可能性を察したタイミングと社会に知られるタイミングが重なることもある。この場合には上述の初動調査を行いつつ、同時並行的にマスコミなど外部対応に迫られることもあるだろう。マスコミなどが説明を求める点は「事実の内容」「被害の内容」「漏えい原因」「今後の対応」などだ。これらの通知が遅れると「○○社が情報を漏えいした」という点だけが社会に拡散し、企業や組織に対する信頼が低下してしまう。

 徳田氏は、当時の対応経験から「詳細な原因調査は後回しでも良い」と話す。初動対応で最も優先されるのは「被害の最小化につなげる」ことであり、当事者と関係者、被害者を迅速にケアできるかが最大のポイントになる。「なぜ情報が漏えいしたのか」という点は、再発防止策の検討など被害抑止に成功した次のフェーズの観点になる。

情報漏えいインシデント対応での注意点(徳田氏の資料より抜粋)

第1段階:事実の確認

  • 漏えい事実の入手経路の確認(ねつぞうやうわさ、推測の排除)
  • 事実の確認
  • 漏えいを起こした組織やプロジェクトの割り出しと当事者の特定
  • ハードウェアや周辺環境の迅速な保全

第2段階:内容の分析

  • 漏えい情報の特定
  • 漏えい範囲の特定
  • 重要度の決定(対応組織の構成)

第3段階:対応の実施

  • 公表の内容と時期の検討〜公表実施
  • 個人や組織に対する説明やお詫び、サポート体制の設置
  • 漏えい情報の拡散防止措置、削除の実施
  • 外部組織やセキュリティ関連協議会などとの連携を検討

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ