CHECK
01
インシデント発生後の迅速な情報開示と体制構築の重要性
今回の事例では、インシデント覚知後に複数回にわたり情報を開示しており、これは企業の透明性と信頼性を維持する上で評価されるべき対応です。被害の全容が解明されていない段階であっても、判明している事実を迅速に公表することは、顧客や取引先、株主といったステークホルダーの不安を軽減し、憶測による風評被害を防ぐ効果があります。また、外部専門家を含む緊急事態対策本部の設置は、客観的かつ専門的な知見を取り入れ、高度なサイバー攻撃に対して迅速かつ的確な意思決定を行うための標準的な対応(ベストプラクティス)であり、あらゆる組織が見習うべき体制です。
CHECK
02
「侵入」を前提とした多層防御と事業継続計画(BCP)
ランサムウェア攻撃の手口は年々巧妙化しており、侵入を完全に防ぐことは困難です。「侵入されること」を前提としたセキュリティ対策が不可欠となります。今回の攻撃の影響が「日本で管理しているシステムに限られる」という点は、ネットワークのセグメンテーション(分離・分割)がある程度機能した可能性を示唆しています。重要なシステムや拠点ごとにネットワークを分離し、万一の際に被害の拡大(ラテラルムーブメント)を食い止める設計は極めて重要です。また、事業を継続させる観点から、データのバックアップは必須ですが、単に取得するだけでなく、攻撃者の手が届かないオフライン環境や、書き換え不可能なストレージ(イミュータブルストレージ)に保管し、定期的に復旧訓練を行うことが求められます。
CHECK
03
個人情報漏えいインシデントにおける事後対応の標準化
個人情報が流出した「可能性」の段階で公表に踏み切ったことは、改正個人情報保護法が定める報告・通知義務を意識した、プロアクティブな対応と言えます。漏えいが確定してからではなく、そのリスクが判明した時点で速やかに関係者に注意喚起を行うことは、なりすましやフィッシング詐欺といった二次被害の防止に繋がります。企業は平時から、自社が保有する個人情報の内容、保存場所、アクセス経路などを正確に把握(データマッピング)しておくべきです。これにより、インシデント発生時に影響範囲を迅速に特定し、個人情報保護委員会への報告や本人への通知といった、法令に定められた義務を遅滞なく履行することが可能になります。
