情報漏えいの発生――その時になすべきことは?:インシデントと戦うCSIRT(2/2 ページ)
企業が直面する最大のセキュリティ課題が「情報漏えい」であり、実際に起きれば適切かつ確実な対応が求められる。情報漏えい事故をモデルケースに、シーサートが果たす役割をみていこう。
なぜ意思決定を急ぐのか
前回紹介したように、シーサートによるインシデント対応の肝は「意思決定」だ。情報漏えいならば、特に「意思決定の迅速さ」が求められる。事実が発覚した後、関係者へ事実関係を的確かつ迅速に通知できるかどうかによって大きく変わる。
例えば顧客情報が漏えいした場合に、その事実と漏えいした内容がどのようなものであるのかという情報を、一刻も早く該当する顧客へ知らせなければならない。これは漏えいした情報の悪用を防ぐことや被害を最低限に抑えることが主な目的となるが、企業イメージにも大きく関わってくるのである。
事実関係の確認に手間取ったことで顧客への告知が遅れ、その結果として二次的な被害が起きれば、企業は何らかの形でその責任を取る必要を予想しなくてはいけない。仮に漏えいの事実を隠ぺいすれば、それが後になって発覚すると企業に対する顧客の信頼は地に落ちるだろう。
また、単純に告知が早ければいいというものではない。顧客へ必要以上の不安や混乱を与えないためにも、まずは、いつどのような内容が漏えいしたのかという点を明確にした上で告知する。この「意思決定の迅速さ」の必要性を如実に示す対照的な事例が、2008年に韓国で起こった。
この年は、韓国で史上最大規模といわれる情報漏えい事件が2件発生している。1件目は、2月に発生した大手オンラインショッピングサイト「Auction」の顧客1081万人の個人情報が漏えいした事件だ。2件目は、9月に大手石油会社「GS Caltex」の顧客1119万人の個人情報が漏えいした事件である。それぞれの事件で漏えいした約1100万人という数字は、実に韓国国民の5人に1人以上になるというものであり、その規模の大きさを物語っている。
迅速な対応は誠実に
Auctionの事件は、何者かがサーバへ侵入したことによって情報が流出したものである。これに対し、GS Caltexの事件は内部犯行によるものであり、2つの事件自体を比較することはできない。しかし、情報漏えいが発覚した後の顧客対応が対照的だった。
Auctionでは、2月に情報漏えいが発生して、その事実を会社として認識していたが、その事実を隠ぺいした。4月になって、ようやく顧客へ向けて発表したのである。この対応によって、Auctionに対する顧客の信頼は大きく失われ、社会から厳しい非難を浴びた。
一方、GS Caltexの対応は迅速だった。事件が発覚した当日のうちに最初の記者会見を開き、漏えいの事実と漏えいした内容に関する情報を公開した。実は記者会見を開くことを決めた時点では漏えいした内容に関する分析が完了していなかった。そのため社内では完全に分析が終わるまで発表は待つべきだという意見もあった。
しかし、最終的には被害の事実を一刻も早く被害者(顧客)へ知らせるべきだという見解が多数を占めた。分析作業の70%が終わった時点で記者会見を開いたのである。この迅速な対応は、韓国国内で「模範的対応」として評価されている。
このように情報漏えいでのインシデント対応は、被害者への迅速かつ的確な情報開示が「肝」となる。次回は、既に活動している国内のシーサートを取り上げ、設立や設置に至った背景、社内における位置付けなどを紹介する。これからシーサートを作ろうと考えている企業にとって、参考情報としていただきたい。
関連記事
- インシデント対応におけるシーサートの活動とは?
企業などで発生した情報セキュリティ事故(インシデント)に対処するのが「シーサート」という枠組みだ。今回はシーサートが果たす役割をみていこう。 - セキュリティの事故対応に求める要素
セキュリティの事故(インシデント)を未然に防ぐことが難しくなった今、インシデント発生による影響を最小化する取り組みへの重要性が高まっている。今回は「事後対応」の中身ついて解説しよう。 - 企業に課せられるセキュリティ問題の“事後対応”
従来の情報セキュリティでは、いくら手厚い対策を実施してもインシデントを回避するのが難しくなりつつある。今後は、発生したインシデントに対するアクションをどのようにするべきかという点に目を向ける必要があるようだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.