CHECK
01
インシデント発生を前提とした事後対応(インシデントレスポンス)体制の構築
本件では、外部の専門家と連携してフォレンジック調査が行われており、インシデント発生後の対応としては適切なプロセスを踏んでいます。しかし、攻撃の検知から被害状況の特定、公表に至るまでには相応の時間を要するのが実情です。被害を最小限に抑えるためには、平時からインシデントの発生を想定し、CSIRT(Computer Security Incident Response Team)のような専門組織を設置・機能させることが不可欠です。また、外部専門家との連携協定や、対応手順を明確化するインシデントレスポンス計画の策定、そしてそれを検証するための実践的な演習を定期的に行うべきです。
CHECK
02
ランサムウェア侵入阻止とデータ保護を目的とした多層防御の深化
ランサムウェア攻撃は、VPN機器の脆弱性、フィッシングメール、窃取された認証情報など、様々な経路で侵入します。境界防御の強化はもちろんのこと、万が一侵入された場合を想定した対策が極めて重要です。具体的には、サーバーや端末の異常な挙動を検知・隔離するEDR/XDRの導入や、ネットワーク内部での不審な通信を監視するNDRの活用が挙げられます。さらに、今回個人情報が流出した事実に鑑み、重要データは保存・通信時に暗号化を徹底し、万が一窃取されても容易に解読できない状態にすることが望まれます。オフラインやイミュータブル(変更不可能)な領域にバックアップを保管することも、事業継続の観点から必須の対策です。
CHECK
03
透明性のある情報開示とステークホルダー・コミュニケーション
同社は複数回にわたり情報を開示しており、ステークホルダーへの説明責任を果たそうとする姿勢が見られます。サイバー攻撃を受けた際、被害の全容解明には時間がかかるため、初期段階で判明している事実と調査中である旨を速やかに公表し、段階的に情報を提供していくアプローチは、顧客や取引先の不安を抑制し、信頼関係を維持する上で重要です。憶測による風評被害や、漏えいした情報を悪用した二次被害の防止にも繋がります。インシデント発生時のコミュニケーション計画を事前に策定し、法務、広報、経営層が連携して一貫したメッセージを発信できる体制を整えておくべきです。
