CHECK
01
サプライチェーン全体でのセキュリティガバナンス強化
今回の事案では、本社だけでなく子会社、さらにはその取引先へと被害が連鎖・拡大しています。これは、攻撃者がセキュリティ対策が比較的脆弱な関連会社や取引先を侵入の足がかりとする、典型的なサプライチェーン攻撃の様相を呈しています。
対策として、グループ全体で統一されたセキュリティポリシーを策定し、その遵守状況を監査する仕組みが不可欠です。 本社と同レベルのセキュリティ対策を子会社にも展開するだけでなく、重要な情報(特に金融機関情報など)を取り扱う取引先に対しても、契約時に一定のセキュリティ要件を課したり、定期的なセキュリティチェックを求めたりする「サプライチェーン・リスクマネジメント」の徹底が求められます。自社のみならず、ビジネスで繋がる全ての組織がセキュリティ共同体であるという意識改革が必要です。
CHECK
02
クラウド利用における設定不備とアクセス管理の再点検
本文書で「当該クラウドサービス事業者へ情報を提供」とある点から、攻撃の起点または情報の流出経路としてクラウドサービスが関与した可能性が考えられます。クラウドサービスは利便性が高い一方で、設定ミスが重大なセキュリティインシデントに直結するケースが後を絶ちません。
クラウドサービスの利用においては、「責任共有モデル」を正しく理解し、利用者側が責任を持つべき設定項目(アクセス権限、認証方式、データの暗号化、ログ監視など)を網羅的に見直すべきです。 特に、特権IDの管理不徹底や、多要素認証(MFA)が設定されていないアカウントは、格好の標的となります。CSPM(Cloud Security Posture Management)のようなツールを導入し、設定の不備を継続的に検知・修正する自動化された仕組みを構築することが、ヒューマンエラーを防ぎ、セキュリティレベルを維持する上で極めて有効です。
CHECK
03
インシデント発生後の情報開示とコミュニケーション計画の重要性
「調査に時間を要した」「攻撃と対策の詳細は差し控えます」という対応は、二次被害の防止や捜査協力の観点から一定の理解はできます。しかし、情報が流出した可能性のある取引先にとっては、具体的な状況が不明なままでは適切な自衛策を講じることが困難です。
インシデント発生時に備え、平時からステークホルダー(顧客、取引先、監督官庁、社会)ごとに、どのタイミングで、どのレベルの情報を、誰が、どのように開示すべきかを定めたコミュニケーションプランを策定しておくことが重要です。 全ての詳細を公開できない場合でも、被害を受けた可能性のある関係者には、判明した時点で速やかに事実を通知し、想定されるリスク(例:不審なメールや送金依頼への注意喚起)を伝えることで、被害の拡大を抑制する責任があります。インシデント対応における透明性と迅速なコミュニケーションは、企業の信頼を維持する上で不可欠な要素です。
