情報漏えいが発覚した後に行うべき10のステップ

この記事をシェア

情報漏えいは「もしも起きたら」ではなく、「いつ起きるか」の問題だと言われるようになった。漏えい事件が発生した際に企業が行うべきこと、避けるべきことについて解説する。

この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

情報漏えいが発覚した後に行うべき10のステップ

世界的な調査によると、情報漏えいは、1つの事件が回復するまでに420万ドル(4億8,200万円相当)以上のコストを要すると推定されている。企業がデジタル基盤を構築し、意図せずアタックサーフェス(攻撃され得る領域)を広げてしまったことを背景に、情報漏えいはこれまでにない規模まで拡大してしまった。例えば米国では、2021年第三四半期までに報告された情報漏えいの件数が2020年全体の件数を超えてしまっている。また、多くの企業では、情報漏えいを発見してから封じ込めるまでに287日も要するという推定もある。

では、情報漏えいの発生後には何が起こるのだろうか?
近年、多くの情報漏えいにつながっているランサムウェアの存在が、状況をより複雑にしている。以下では、情報漏えいの後に行うべきことと避けるべきことを解説していく。

落ち着きを保つ

情報漏えいの発生は、企業経営において最もストレスのかかる問題だろう。特に、重要なシステムを不正に暗号化し、身代金の支払いを要求してくるランサムウェアの場合は深刻だ。しかし、拙速な反応はむしろビジネス活動に害を及ぼす。業務を通常に戻すために組織的に動くことが重要だ。インシデント対応計画に従い、まずは情報漏えいの範囲を特定する必要がある。

インシデント対応計画に従う

情報漏えいが「もしも起きたら」ではなく、「いつ起きるか」という問題になったことを踏まえると、インシデント対応計画はサイバーセキュリティ対策に欠かせないベストプラクティスだ。米国国立標準技術研究所(NIST)や英国サイバーセキュリティセンター(NCSC)などのガイダンスに従った綿密な計画が必要となるだろう。深刻な情報漏えいが発覚した際には、組織横断的に利害関係者を集めたインシデント対応チームが、1つずつプロセスを進めていくべきだ。全員が共通の認識を持ち、常に文書をアップデートしておくよう、計画は定期的に検証するのが望ましい。

情報漏えいの範囲を特定する

情報漏えいという重大なセキュリティ侵害の後にとるべき重要なステップの1つは、企業がどれほどの影響を受けたかを把握することだ。これにより、通知や修復といった次のアクションが決まるからだ。理想的には、攻撃者がどのように侵入し、攻撃を受けた範囲はどこまでかを判明させたい。どのシステムが侵入されたか、何のデータが漏えいしたか、そして攻撃者はまだネットワーク内に潜んでいるか。こうした状況を把握するために、外部のフォレンジック専門家が起用されることも多い。

法務部門を関与させる

情報漏えいが起きたら、企業の置かれた状況を正しく理解する必要がある。どのような責任があるのか、どの監督機関に報告する必要があるのか、時間を稼ぐために攻撃者と交渉するべきか、顧客やパートナー企業にはいつ知らせるべきかなどだ。このような場合、最初に社内の法務部門に相談する必要がある。あるいは、サイバーインシデント対応の専門家を呼んだ方がよいかもしれない。専門家が最適な判断を下せるよう、実際に何が起こったのかについてのフォレンジックの詳細が不可欠だ。

いつ、誰へ、どのように通知するか理解する

GDPR(EU一般データ保護規則)の規則では、情報漏えいが検知されてから72時間以内に国内の規制当局へ通知しなければならない。しかし、事件の状況によっては通知する必要がない場合もあるため、通知が必要な最低限の条件を理解しておくことが重要だ。ここでは、攻撃を受けた範囲をよく理解することが欠かせない。どのくらいのデータが盗まれ、攻撃者がどのように侵入したかを知らなければ、当局への通知に関して、最悪の事態を想定しなければならないからだ。GDPR立案に重要な役割を果たした英国データ保護機関(ICO)は、通知に関して有用なガイドラインを公開している。

警察へ通報する

規制当局との関係に関わらず、警察の協力を仰ぐ必要があるだろう。特に、攻撃者がまだネットワーク内に潜んでいる場合は重要だ。できるだけ早く警察に連絡するのは理にかなっている。例えば、ランサムウェアの場合、復号キーや軽減ツールを提供するセキュリティプロバイダー、あるいは外部の専門家へ連絡を取ってくれる場合もある。

顧客、パートナー企業、従業員に伝える

これは言うまでもなく、情報漏えいの後にするべきことの1つだ。しかし、この場合も、通知するべき顧客・従業員・パートナー企業の数や知らせるべき内容、そして、知らせるタイミングは事件の詳細や盗まれたデータによって変わってくる。取り急ぎ、事件を検知して現在調査している旨を知らせる声明を出すことも検討したい。しかし、噂はすぐに広がっていくものなので、速やかに詳細を知らせる必要があるだろう。通知に関しては、IT部門・広報部門・法務部門が緊密に連携して動くべきだ。

修復・修正を開始する

攻撃を受けた範囲が明確になり、攻撃者がアクセスできなくなったことをインシデント対応チームとフォレンジックチームが確認した後は、業務を通常通りに戻すよう試みる。バックアップからシステムを復元する、攻撃された機器を見直す、影響を受けたエンドポイントにパッチを適用する、パスワードを再設定する、といった作業が含まれる。

今後の攻撃に備えてセキュリティを高める

サイバー犯罪では、攻撃者同士で情報を共有しているケースが少なくない。特にランサムウェアに関しては、情報が共有され、被害に遭った企業へ何度も攻撃が仕掛けられるケースが増えている。一度目の攻撃で使われた経路が次の攻撃で狙われないように、脅威の検知や対応、フォレンジックツールから得られた情報を活用することがこれまで以上に重要となる。具体的には、パッチやパスワード管理を改善する、セキュリティ研修を見直す、多要素認証(MFA)を導入する、あるいは、人・プロセス・技術に関してより高度な対策を講じる、といった取り組みが考えられる。

最悪なインシデント対応について学ぶ

インシデント対応を強化するためには、経験から学ぶことが重要だ。前述のとおり、将来に備えてセキュリティを高めるのも、その一環だ。加えて、他社の事例から学べることも多くある。情報漏えいの歴史を振り返ると、インシデント対応が拙かったケースが目に付く。広く報じられたある事件では、情報漏えいが発生した企業において、インシデント対応に関するWebサイトと間違えてフィッシングサイトのリンクを同社のTwitterアカウントに4回も投稿してしまった。別件では、英国の大手通信会社が、矛盾する情報を発表したとして批判を受けた。

おわりに

顧客は、取引先がセキュリティ事件の被害に遭う危険性があることを理解しつつある。その上で、顧客が定着するか離れてしまうかどうかは、インシデントに対してどのように対処するかにかかっていると言える。結果として、金銭的な損害や評判の低下にも影響していくものだ。

この記事をシェア

情報漏えいのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!