“願い”と化す「情報漏えいの事実は確認されておりません」 問われる「サイバー攻撃を受けました」発表の質:辻伸弘氏×北條孝佳弁護士 セキュリティロング対談【後編】(2/5 ページ)
「レポートの質」を上げるには、誰が頑張ればいいのか
北條氏:この悪しき風潮が浸透しまうことをかなり懸念しています。ちゃんとログを保存して管理している企業がランサムウェア被害に遭ったとして、セキュリティベンダーに依頼してきちんと調べてもらったら、漏えいした痕跡が出てきます。そうすると、漏えいした事実が確認できてしまったことになるわけです。
ログをきちんと保存していない企業の場合であっても適切なベンダーが調査した結果であれば、例えば「適切なログがないので漏えいしていないとは断定できません」あるいは「これまでの経験から調査期間より前に漏えいした可能性があります」と説明されるわけですが、ベンダーがいい加減な場合、このような説明をきちんとしていないレポートになって、公表も、適切なログがなかったにもかかわらず「情報漏えいの事実は確認されておりません」となるわけですよね。
企業からすれば、ログなんぞ存在しない方が良いということになってしまう。そっちの方がコストも手間もかからず、影響も少なく見せることができてしまいますからね。インシデント対応において重要なログの収集をしない方が得だと考える企業が出てきてしまうのは、セキュリティの概念とは反対方向の話です。
辻氏:そういったベンダーが増えてしまうと「悪貨は良貨を駆逐する」です。割りを食うのは利用者。
北條氏:誰のためにセキュリティをやっているのか分からないですよね。ログの保存期間や種類は法定されていないですし、影響を小さく見せることができるわけですから、企業としては、このような対策で十分だと勘違いしてしまいます。そうすると、解決法がないのではないでしょうかね。
辻氏:やはり“ムチ”しかないのかもしれません。どの程度のログがあり、どの程度の調査を行った上での判断であるのかということを報告する報告先が生まれれば出さざるを得ないはず。監督官庁なのか個人情報保護委員会なのかわかんないですけど。
北條氏:個人情報保護委員会も適切な保存期間や種類のログがあった上での解析結果でなければ、漏えいのおそれは否定できないことをもっと発信しないとダメだと思いますが、なかなかされない。解析結果に対して、第三者の目線が必要だ、という話にもつながるのですが、そうなると誰がそれをやるのかということにもなってきます。
補足:
個人情報保護委員会が公表する「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」のQ6−2において、「個人データを第三者に閲覧されないうちに全てを回収した場合」は漏えいしたに該当しないとしており、事例として「システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合において、閲覧が不可能な状態とするまでの間に第三者が閲覧していないことがアクセスログ等から確認された場合」があるとしている。
この「閲覧が可能な状態となっていた」時点から「閲覧が不可能な状態とするまでの間」が適切な期間であり、「第三者が閲覧していないことがアクセスログ等から確認された」ということが、適切な種類のログを意味する。しかし、ランサムウェア被害に遭った場合には、適切な期間が明確にできないからか、事例として挙げられていない。
もちろん、被害組織が知識を付けていただければ一番いいんですけど、なかなか難しいですよね。あるいは、セキュリティベンダーがきちんと真摯(しんし)な対応をしてくれればいいのですが、顧客からの依頼が増えさえすれば良いというベンダーも一定数存在する。もっとも、ベンダーも依頼してきた被害組織の言い分を聞かないといけない場面もあるのでしょうけど。
被害組織もセキュリティ対策がきちんとできているという資格や審査について100点満点の70点で通るんだったら、90点を取る必要はなく、みんな70点を目指すようになってしまう。70点は一応の合格点ではありますが、十分な体制が整備されているとは言い難いことになります。
辻氏:その点数が、そのままかけるお金に跳ね返ってくるので、無駄にはしたくないですよね。審査ならば通りゃいいんですということに。規制というムチを作るにも時間がかかりますし。
北條氏:法令で規制をすることの何が難しいかというと、規制された内容に対応できない企業が多数存在する場合は、法令違反の企業が増えてしまうわけです。そして、それを取り締まらなかったら規制した意味がなくなる。そこがネックになって、規制はなかなかしにくいんですよね。
辻氏:基準を設けるっていうのは、指標が明確になるメリットもあるんですけど、その基準を超えるいいものが生まれなくなるというデメリットもある。難しいですね、そこは。
関連記事
若手セキュリティ人材に知らせたい、「ちゃんと守れた」を伝える訴求力 「問題が起きない=評価されない」にしない考え方
“働くセキュリティ人”たちに注目。2021年度の総務大臣奨励賞を受賞したポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る。今回はGMOサイバーセキュリティ byイエラエでSOC(Security Operation Center)事業を立ち上げた阿部慎司氏をゲストに招く。
「大企業を守るには、中小を守らねば」──セキュリティの“周回差”、ニッポンらしい埋め方は
“働くセキュリティ人”たちに注目。2021年度の総務大臣奨励賞を受賞したポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る。今回はGMOサイバーセキュリティ byイエラエでSOC(Security Operation Center)事業を立ち上げた阿部慎司氏をゲストに招く。
「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び
freeeのセキュリティ訓練が今年も実施に。今回のシナリオと、得られた学びは……。
漫画「16日後に大規模インシデントを起こすルカワくん」【完結&種明かし編】
大規模なセキュリティ訓練で知られるfreeeが、社内での注意喚起用に作成した漫画を翻案して連載。とある会計ソフトベンダーで働く「ルカワくん」が、大規模インシデントを起こすまでの出来事を、カウントダウン形式で描きます(原作:freee CSIRT 画:立枯なろ)
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRアイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。