企業がサイバー攻撃の被害に遭った際、その事実をどこまで公表すべきか。多くの企業がレピュテーションリスクを恐れて詳細な言及を避けるなか、原因となった脆弱性の情報を包み隠さず公開し、他社の防御に貢献した企業がある。
バーコードやRFIDといった自動認識ソリューションのグローバルリーダーであるサトーは、海外グループ会社が利用するクラウドサービスで発生した情報漏えいインシデントにおいて、原因となったゼロデイ脆弱性をCVE番号付きで公表した。この実務者目線で教訓性の高い対応が評価され、第11回セキュリティ事故対応アワードで特別賞を受賞した。
未公開の脆弱性を突くゼロデイ攻撃という防ぎきれない脅威に対し、同社はどのように初動対応を行い、詳細な情報公開に至ったのか。サトー DX統括部 サイバーセキュリティ推進部 部長の鈴木健一氏に、インシデント対応の裏側と得られた教訓を聞いた。
-
サトー DX統括部 サイバーセキュリティ推進部 部長の鈴木健一氏
ゼロデイ攻撃発生、「パッチを当てれば防げる」は通用しなかった
今回、特別賞の対象となったのは、サトーが2025年11月に公表した海外グループ会社における情報漏えいインシデントだ。米国・アジア・欧州にまたがる海外11拠点で利用していたERP系のクラウドシステムにおいて、ベンダーの修正パッチが未公開だったゼロデイ脆弱性を突く不正アクセスが発生。個人情報や受発注データなどの一部が漏えいした可能性があるという事案である。
サトーでは、日本本社とシンガポールのグループ会社の2トップ体制でCSIRTを運営している。被害に遭ったシステムを管理していたのがシンガポールの会社だったため、現地のメンバーから本社へ第一報の連絡が入ったという。
原因となったゼロデイ脆弱性は、利用者側の対策だけでは完全に防ぎきれないリスクであり、鈴木氏も当時痛感したことを次のように語る。
「発生時点においてベンダー自身もまだ修正パッチを提供していない状況でした。つまり、私たちがどれだけ迅速にパッチを適用する体制を整えていたとしても、防ぐことは構造的に困難だったということです。パッチ管理前提のセキュリティには限界があると強く認識しました。だからこそ、侵入される前提での『検知・封じ込め・回復』の設計が重要になります」(鈴木氏)
なぜCVE番号まで公表したのか――情報開示を決断した理由
本件で審査員から最も高く評価されたのは、プレスリリースにおいて原因となった脆弱性をCVE番号付きで詳細に公表した点だ。ここまで踏み込んだ情報を公開した理由について、鈴木氏は「他組織の防御に有用なものであるか」と「ステークホルダーが必要としている情報か」という2つの判断基準があったと説明する。
「このCVEの脆弱性は、すでに悪用されている状態で情報が公開されていました。私たちが被害状況とCVE番号をひも付けて公表することで、同じ脆弱性を持つシステムを使っている他組織への新たな気付きになります。また、ステークホルダーの方々に対しても、自社への影響を正しく判断してもらうための材料になると考えました」(鈴木氏)
一般的に、詳細な技術情報を公開するにあたっては、経営層や法務・広報部門からレピュテーションリスクを懸念する声が上がることが多い。しかし、サトーの社内では大きなハレーションはなかったという。
「事前に法務や広報、外部の専門家と協議し、会社としてどういうスタンスで、どこまで線を引いて出すのかを決めたうえで話を進めました。そのため、上層部にも納得感を持って理解してもらえたのだと思います」(鈴木氏)
同社広報担当者も、「コーポレートサイトを含む社外全体、顧客・取引先、そして従業員という3つのターゲットに向けて情報を出すにあたり、それぞれで異なる見解を示して混乱を招かないよう、表現や内容を統一した」と当時の緻密な連携を振り返る。
本件で影響を受けた海外11拠点は欧州が多く含まれており、情報開示は日本語だけでなく多言語での対応が求められた。サトーでは、大元となる英語のマスター文を作成したうえで、各地域が持つWebサイトでフランス語、ドイツ語など現地の言語に合わせた掲示を現地主導で作成・公開した。顧客への個別通知においても、現地の事情や肌感を持つ各拠点の責任者に裁量を持たせつつ、全体として発信するメッセージの軸がブレないよう慎重に調整したという。
事故対応と情報開示における4つの原則
サトーが事故対応と情報開示においてとくに重視したのが、以下の4つの原則だ。
1. 事実と推測を混ぜない
発生直後は確認できていない情報が飛び交う。「おそらくこうだろう」という推測を確認済みの事実と同列に扱うと、誤った判断や対外説明につながる。常に「これは確認済みか、推測か」を区別して整理するよう意識した。
2. 不確実な部分は不確実と明示する
分からないことは分からないと伝えること自体が、かえってステークホルダーの信頼につながると考えた。
3. 技術的な原因を構造で説明する
なぜこうなったのか、技術的な背景を担当者だけが理解できるかたちにするのではなく、意思決定者や外部にも伝わるような構造的な説明に翻訳することを心がけた。
4. 説明責任と過剰開示を混同しない
被害関係者への説明責任は果たしつつも、攻撃手法の詳細など攻撃者に利するような情報は出さないという線引きを明確にした。
これらの原則と、「私たちは被害者である」などといった感情的な言い回しを避けるスタンスを徹底した結果が、今回のアワードで高く評価されたプレスリリースにつながっている。「パスワードや特別なカテゴリーのデータ侵害はない」と、漏えいしていない情報を明確に切り分けて明言できたのも、事実を冷静に整理した成果だ。
「お客さまが一番気にされるのはパスワードなどのクレデンシャル情報や各社固有の情報です。対象システムの特性上、そうしたデータが流出し得ない確証が得られたため、明示するという判断に至りました」(鈴木氏)
一連の対応から見えてきた、「責任共有モデル」の壁と机上訓練の課題
クラウドサービス経由のインシデント対応では、サービスプロバイダー側との連携も鍵となる。「クラウドサービス契約であったため、『責任共有モデル』のうち、どちら側の責任で対策をとるのかといった認識の齟齬が発生し、整理に苦労する場面もあった」と鈴木氏は明かす。クラウドを使えばセキュリティはベンダーが全て担ってくれるという誤解を解き、自組織の責任範囲を明確にすることがクラウド利用の出発点となる。
また、一連の対応を振り返り、平時の備えとして不足していた部分も見えてきたという。同社では平時からCSIRTメンバーを中心にインシデント対応の机上訓練を実施していたものの、有事のリアルな動きにはマッチしきれていない部分があった。
「例えば、現地のどのレベルのお客さままで報告するかといったことは、現地のビジネス事情を知る海外拠点の責任者の判断を仰がなければなりません。しかし、既存のインシデント対応フローにはそのプロセスが組み込まれておらず、『経営トップに報告したら終わり』ではない実効性のある訓練の必要性を感じました」(鈴木氏)
現在はこの経験を踏まえ、グローバル環境でのIT資産可視化やプロセスの最適化、外部SOCとの連携強化などの改善を進めているそうだ。
「技術×組織×コミュニケーション」で乗り切るインシデント対応
サトーでは2025年度からDX統括部を新設し、そのなかにサイバーセキュリティ推進部を配置している。デジタルを活用してビジネスを変革していくうえで、AIやデータ基盤とサイバーセキュリティは切り離せない存在だ。中期経営計画にもセキュリティへの対応を謳い、会社全体としてサイバー脅威に立ち向かう姿勢を明確にしている。
最後に、鈴木氏はセキュリティの実務担当者に向けて次のようにメッセージを送る。
「ゼロデイ攻撃による被害は、もはやどんな企業でもリスクがある時代です。被害に遭った際、最終的なダメージの大きさを決めるのは、侵害の深さというよりも『初動対応の速さ』や『情報共有』『透明性』です。技術的に優れた対応ができても、組織として動き、対外的に適切な説明ができなければ、結果として組織への信頼を損なってしまいます。『技術』『組織』『コミュニケーション』、この3つを平時から意識して備えることが、ゼロデイ時代に求められる姿勢だと私たちは学びました」(鈴木氏)
決して派手な対応ではないかもしれない。しかし、ゼロデイという防ぎようのない攻撃に遭いながらも、事実に基づく冷静な情報開示を貫き、他組織の防御にも資する情報を提供したサトーの姿勢は、インシデント対応の在るべき姿を示している。
ランサムウェアからAIリスクまで、「情報セキュリティ10大脅威」に見る脅威動向と対策
