サイバーセキュリティ対策に取り組む企業の担当者が、"これだけは押さえておきたい"といった基礎知識を取り上げる本連載。第2回はWebサイトへのサイバー攻撃対策について取り上げました。第3回では、情報漏えいしてしまった最悪の事態を想定し、どういった流れで対応すればよいかを取り上げます。

例えば、個人情報やクレジットカード情報の漏えいは、2次被害の可能性が大きくなりますが、最悪の事態を想定しておけば被害を最小限に食い止められる可能性があります。こうした事前のリスク管理は対策と同じくらい重要となります。

また、全ての項目において"対応スピード"と"透明性"が重要となることを「基本姿勢」として意識しましょう。

まずは情報収集と原因の調査

被害を認識する時、サービスを利用するユーザーからの問い合わせの場合もありますし、自社のWeb担当がWebページの異変に気付く場合もあります。いずれにせよ、「いつ」「どの箇所で」「誰が」「どんな情報を」「なんのために」「どうしたのか」といった5W1Hの観点で、どんな異変が起きているのかを把握し、仮説ベースで良いので情報を整理します。

例えば、Webページの改ざんにより、リンクが意図したページに飛ばずに悪意のあるページに誘導されているなど、すぐ異変に気付くこともありますが、「情報が漏れているのではないか?」といった不正アクセスや不正ログインが疑われる問い合わせの場合には、システム上の痕跡を探すことが必要になります。

特にWebフォームの改ざんにおいて、ユーザーがフォームから入力して送信した個人情報が、攻撃者が用意したデータベースだけでなく自社のデータベースにも送信されている場合には、入力情報の送信が正常に機能していると判断してしまうこともあるため、注意が必要です。

被害拡大の防止に努める

起きている事象と原因(証拠)を把握したところで、被害の拡大を防ぐことに注力します。システムが書き換えられている場合には、管理権限を掌握されている可能性がありますので、情報が未だに外部からアクセスできる状態の場合には、早急にネットーワークの遮断を行いサービスを停止する必要があります。

Webページやメディアを通して公表する

「事業者において、個人情報の漏えい等の事案が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を公表することが重要である」(「個人情報の保護に関する基本方針」6(1) ②個人情報保護委員会)

上記「個人情報の保護に関する基本方針」にあるように、基本的には情報公開を前提とした姿勢でいることが大切です。個人情報が流出してしまった可能性のあるユーザーには個別に連絡をとり、状況の説明と二次被害の注意喚起を行います。

特に被害が広域に及ぶと判断した場合には、ニュースリリースやホームページでの周知だけでなく、必要に応じて記者発表を行うことも想定しておくべきでしょう。また、多数の問い合わせが予想されますので、事前に相談窓口の設置も検討します。

しかしながら、情報を公開することで被害が拡大する可能性があったり、二次被害が発生する恐れがある場合には、被害防止の観点から情報公開のタイミングを見極める必要もあります。

再発防止策を講じてサービスを復旧する

同じ被害を繰り返さないよう、サービス復旧の前にはセキュリティを担保できる状態でなければなりません。自社による監視体制の構築やセキュリティサービスの導入など、再発防止に取り組み、問題なければ停止したサービスの復旧作業に取り掛かります。サービス停止中の機会損出は気になりますが、まずは盤石の体制を築くことに集中するべきです。

これで一段落とはいかないでしょうが、事態が収拾に向かってきたら、被害を受けてしまった人や迷惑をかけてしまった方へのお詫びや、集団訴訟などのレピュテーションリスクの防止策を考えておく必要があります。

大手コンビニチェーンの会員情報が流出した際は、500円の商品券を約115万人に送付していますが、その総額は500円×115万人=5億7500万円にもなりました。さらに、送料やDM作成などのコストも加わります。こうしたお詫びを行うかどうかはその時に決めますが、お詫びの方法は事前にいくつか決めておくと判断に慌てずに済むでしょう。

ここまで、被害発生時の対応例をお伝えしましたが、そのときの被害レベルや発生の経緯などによっては対応方法が変わることもあると思いますので、これをベースに自社の最適な対応策を決めていただければと思います。

また、IPA(独立行政法人 情報処理推進機構)により、内部犯行、紛失・盗難など、情報漏えいのタイプ別対応例をまとめた「情報漏えい発生時の対応ポイント集」もとても参考になりますので、一読をおすすめします。

連載第2回の冒頭で、「サイバー攻撃は日進月歩で進化しており、今のところそのすべてを防ぐことが難しいということは確かな事実」とお伝えしましたが、米国では「サイバー攻撃を100%は防げないが、出来る限りの努力はする」というセキュリティベンダーの姿勢に疑問符が投げかけられており、無責任だという声もあがっています。

そうした状況から、セキュリティサービスを導入していたにも関わらず被害を受けてしまった場合の保障サービスの導入が進んでいます。日本国内でも、クラウド型WAFにサイバー保険を付帯し、大規模なDDoS攻撃やゼロデイ攻撃により損害を受けてしまった際にも一定額を保障するサービスが開始されています。保険会社がサイバー保険単体で取り扱っているケースもありますので、こうしたリスクヘッジも考えてみてはいかがでしょうか。

自社サービスから顧客の個人情報が漏れてしまうなどということは想像もしたくないですが、当然、万が一の際に準備をしていたかどうかで対応スピードが異なってきます。また、リスク管理への取り組みは社員のセキュリティ意識の向上にもつながりますので、ぜひ後回しにせず積極的に取り組んでいただきたいと思います。

執筆者紹介

サイバーセキュリティクラウド マーケティング部
川島 平

大手アパレルメーカーに入社後、店長として現場経験を積む。その後、外資系デベロッパーやWeb広告代理店、EC事業会社でのマーケティングを経て、現サイバーセキュリティクラウドのPR・マーケティングプロモーション戦略全般に携わる。好きな食べ物は「原宿餃子楼」の餃子。