6月の初めに日本年金機構による年金情報漏えい事件が明らかにされて以降、公共団体、自治体、教育機関など多数から、堰を切ったように標的型攻撃被害の公表がありました。

企業にとっても、ひとごとではない事態です。マイナンバーの施行を控え、同様の事態が自社に発生した場合の影響をよく想像しておくべきだと思います。

標的型攻撃の特徴、情報が漏えいする仕組み、各種の対策などは、さまざまな方面から識者が十分な情報をすでに紹介しています。詳しいノウハウはそちらを参照いただくとして、このコラムでは、幸いにも被害が及んでいない企業の経営者に向けて2つの点をリマインドしたいと思います。

ひとつは、攻撃を受けたことが自社で検知できるようにしくみを整備しておくべきである、ということです。

具体的には、検知に必要なログを取得し、問題に対しては警告が挙がるように設定し、かつそうした機能の稼働状況を普段から監視することです。普段から様子を見ていなければ、普段と違うことに気付くはずがありません。

言ってしまえば当たり前のことですが、おそらく多くの企業・団体で、こうした「運用」をまともに行っていないと思われます。

そのせいか、ここまで多くの攻撃被害の公表で、その発見のきっかけは「外部からの指摘」になっています。最近では、情報の漏えいを外部から指摘されるまで半年以上気づかなかった、という事例もありました。

こうした例があまりに多すぎて「社外から指摘されるのがフツウ」という風潮になりはしないかと、大変危惧しています。本来は、自ら気づくべき問題です。結果的に外部の指摘が早かったとしても、少なくとも自ら検知できるようにする努力と、必要な投資はすべきです。

もうひとつは、こうした攻撃が発覚した場合の行動原則を明確に定め、組織内で共有しておくべきである、ということです。

メールや個人情報の取扱いについて厳格化するなどセキュリティ保護のルールを固めることも必要ですが、一定レベルを超えて厳しくすると現実的ではなくなります。ルールの厳格化と業務の効率性は、トレードオフの関係です。顧客に提供するサービスの質を考慮して、両者の適切なバランスを取ることが、セキュリティ対策の前提条件であり現実といえます。

ただしそうなると、外部からの攻撃リスクは無視できるほどに軽減されることはありません。まして、攻撃手法は日々、巧妙さの度合いを増しています。企業側が現実的な対策を維持したとしても、リスクはおそらく今後も上がっていく傾向になるでしょう。

このことを踏まえて、保護対策を継続して取りつつ、万一攻撃が発覚した場合に自社内ではどうふるまうのか、平時のうちに決めておくことが重要になります。

「自社では対応しきれないから外部の専門家に依頼する」でもよいですが、それでも自らで行うべきことや留意すべきことはたくさんあります。下手な動きをすると、攻撃を防いだつもりが拡大させてしまったり、そのつもりがないうちに攻撃された痕跡を消してしまい証拠がなくなってしまうこともあるのです。

専門的な知識が無ければないほど、平時のうちに正しい行動とは何かをきちんと精査し、行動原則を決めておいて、有事に迷わず、対応を間違えないようにしておくべきです。

また、日本年金機構の公表の遅さが批判された結果、後続の被害案件では、被害状況が不明なうちに即座に公表する組織が続出していましたが、即時公表が必ずしも正しいとは限りません。

社会的影響が大きい漏えい問題ほど、公表すれば外部からの問い合わせが殺到します。そのときにスタッフがそれをさばける体制が予め整っていなければ、社内が火を噴き、対応が後手に回ることで、余計に信頼を失うことになりかねません。日本年金機構の場合は事実確認から公表までが1か月とあまりに遅すぎたのが批判されていることに、留意すべきでしょう。

経営者の方々には、情報セキュリティ関連の事件のときはいつでもそうなのですが、一連の事件を他山の石として、自社の対策に活かすべく具体的行動をとることをお勧めします。少なくとも上記のような検討をきちんと済ませていれば、今回の件に対して「そんなメールを開くとは注意が足りない」などという、聞く人が聞けば底の浅さがわかってしまう発言をすることもなくなるでしょう。