“願い”と化す「情報漏えいの事実は確認されておりません」　問われる「サイバー攻撃を受けました」発表の質

　昨今の被害状況を見れば分かる通り、サイバー攻撃、特にランサムウェアの脅威は、業種も企業規模も無関係にやってくるようになった。それに伴い、技術やシステム構成による防御だけでなく、人と組織の課題に目を向けることも重要になりつつある。

【その他の画像】

　組織の力やセキュリティ統制の仕組み、加えて法の解釈や規制の理解も、セキュリティを形作る大事な要素だ。中でも関心が集まりやすいのは「身代金、支払うべきか、拒否するべきか」という課題だろう。

　ポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る本連載。第2弾となる今回は、この「身代金、支払うべきか、拒否するべきか」という課題に注目していこう。

　今回の対談相手は元警察庁技官で弁護士。西村あさひ法律事務所・外国法共同事業のパートナーで、サイバーセキュリティ・インシデント対応の豊富な経験を持つ北條孝佳弁護士を招いた。法律のスペシャリストがセキュリティの視点を加え、「身代金支払い」「インシデント対応時の組織としての判断」「法律のこれからに感じる課題」を語る。その対談の様子を前後編でお届けしよう。

　後編では、インシデントレポートの質の課題や規制による影響、そして今まさに日本で議論となっている「サイバー法案」を語った。

●“願い”と化す「情報漏えいの事実は確認されておりません」

北條氏：インシデントレポートで最近散見されるのが「情報漏えいの事実は確認されておりません」という表現。これは本当に気になっています。

辻氏：僕がつい反応してしまう言葉ですね！

北條氏：この「事実」ってなんなんでしょうね。例えば一定期間保存した各種のログがあって、きちんと保全もできていた場合に、これを適切に解析した結果、「情報漏えいの事実は確認されておりません」という「事実」ならば分かります。

　しかし、例えば極端な話、攻撃者が2週間前に外部へデータを送信していたけれど、ログが1週間分しかなく、その1週間だけを解析したら、当然、漏えいした痕跡はないことになります。

辻氏：範囲の問題ですよね。

北條氏：そのごく限られた期間だけを解析したら、「事実」としては漏えいしていないという結論になっているのだと思いますが、それはおかしな話です。それを専門事業者であるセキュリティベンダーから受けとったら、レポートを読んだ知見のない被害組織の担当者は「何も漏えいしてないんだ」と勘違いすると思いますよ。

　そのような場合に、またはあえてなのかもしれませんが、「情報漏えいの事実は確認されておりません」と公表してしまうことになってしまいますが、一体どういうことだ、本当に適切な期間と各種のログが存在して、解析したの？　と思ってしまいます。

辻氏：調べたけどなかったのか、調べる能力が低かったり、備えがなかったりしてそう判断せざるを得なかったのか。その両方が「情報漏えいの事実は確認されておりません」という同じ文言になる。それはもう“願い”なんよ、って思いますね。

●「レポートの質」を上げるには、誰が頑張ればいいのか

北條氏：この悪しき風潮が浸透しまうことをかなり懸念しています。ちゃんとログを保存して管理している企業がランサムウェア被害に遭ったとして、セキュリティベンダーに依頼してきちんと調べてもらったら、漏えいした痕跡が出てきます。そうすると、漏えいした事実が確認できてしまったことになるわけです。

　ログをきちんと保存していない企業の場合であっても適切なベンダーが調査した結果であれば、例えば「適切なログがないので漏えいしていないとは断定できません」あるいは「これまでの経験から調査期間より前に漏えいした可能性があります」と説明されるわけですが、ベンダーがいい加減な場合、このような説明をきちんとしていないレポートになって、公表も、適切なログがなかったにもかかわらず「情報漏えいの事実は確認されておりません」となるわけですよね。

　企業からすれば、ログなんぞ存在しない方が良いということになってしまう。そっちの方がコストも手間もかからず、影響も少なく見せることができてしまいますからね。インシデント対応において重要なログの収集をしない方が得だと考える企業が出てきてしまうのは、セキュリティの概念とは反対方向の話です。

辻氏：そういったベンダーが増えてしまうと「悪貨は良貨を駆逐する」です。割りを食うのは利用者。

北條氏：誰のためにセキュリティをやっているのか分からないですよね。ログの保存期間や種類は法定されていないですし、影響を小さく見せることができるわけですから、企業としては、このような対策で十分だと勘違いしてしまいます。そうすると、解決法がないのではないでしょうかね。

辻氏：やはり“ムチ”しかないのかもしれません。どの程度のログがあり、どの程度の調査を行った上での判断であるのかということを報告する報告先が生まれれば出さざるを得ないはず。監督官庁なのか個人情報保護委員会なのかわかんないですけど。

北條氏：個人情報保護委員会も適切な保存期間や種類のログがあった上での解析結果でなければ、漏えいのおそれは否定できないことをもっと発信しないとダメだと思いますが、なかなかされない。解析結果に対して、第三者の目線が必要だ、という話にもつながるのですが、そうなると誰がそれをやるのかということにもなってきます。

●補足：

個人情報保護委員会が公表する「『個人情報の保護に関する法律についてのガイドライン』に関するＱ＆Ａ」のＱ６−２において、「個人データを第三者に閲覧されないうちに全てを回収した場合」は漏えいしたに該当しないとしており、事例として「システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合において、閲覧が不可能な状態とするまでの間に第三者が閲覧していないことがアクセスログ等から確認された場合」があるとしている。

　この「閲覧が可能な状態となっていた」時点から「閲覧が不可能な状態とするまでの間」が適切な期間であり、「第三者が閲覧していないことがアクセスログ等から確認された」ということが、適切な種類のログを意味する。しかし、ランサムウェア被害に遭った場合には、適切な期間が明確にできないからか、事例として挙げられていない。

　もちろん、被害組織が知識を付けていただければ一番いいんですけど、なかなか難しいですよね。あるいは、セキュリティベンダーがきちんと真摯（しんし）な対応をしてくれればいいのですが、顧客からの依頼が増えさえすれば良いというベンダーも一定数存在する。もっとも、ベンダーも依頼してきた被害組織の言い分を聞かないといけない場面もあるのでしょうけど。

　被害組織もセキュリティ対策がきちんとできているという資格や審査について100点満点の70点で通るんだったら、90点を取る必要はなく、みんな70点を目指すようになってしまう。70点は一応の合格点ではありますが、十分な体制が整備されているとは言い難いことになります。

辻氏：その点数が、そのままかけるお金に跳ね返ってくるので、無駄にはしたくないですよね。審査ならば通りゃいいんですということに。規制というムチを作るにも時間がかかりますし。

北條氏：法令で規制をすることの何が難しいかというと、規制された内容に対応できない企業が多数存在する場合は、法令違反の企業が増えてしまうわけです。そして、それを取り締まらなかったら規制した意味がなくなる。そこがネックになって、規制はなかなかしにくいんですよね。

辻氏：基準を設けるっていうのは、指標が明確になるメリットもあるんですけど、その基準を超えるいいものが生まれなくなるというデメリットもある。難しいですね、そこは。

●良いレポートに倣え　被害発表のあるべき形

北條氏：話は変わりますが、経営者には自社で発生した事象について説明責任がありますよね。きちんとステークホルダーに対して説明をしないといけない、という点から始めなければならないのに、まず、自分たちの責任が問われないように縮小化する、あるいは隠すという選択を取ってしまう。こういうことは日本だけなんですかね。

辻氏：いや、海外の被害発表を見ていても、同じような傾向はあります。いいところはずばぬけて素晴らしいものがあります。ここ4年ほどでは、多少厳しい目で見ていますが、心底素晴らしいと思える対応は3件ほどです。全部海外で、アメリカが1件、ノルウェーが2件。

・Lessons Learned from a Global Ransomware Attack | Finalsite Blog

・Norsk Hydroで発生したRansomware被害についてまとめてみた - piyolog

・Volue Releases Postmortem Report on Cyberattack ? Volue

北條氏：サイバー攻撃を受けた企業は確かに被害者にはなるわけですが、色々な情報を預かっている企業でもあるわけですよね。そのような情報の本来の持ち主に対して責任を負わなくてはいけないので、適切な被害公表をすべきでしょうね。

　そのため、そうではない被害公表に対しては、厳しい目を向ける、というのが本来あるべき姿なのではないでしょうか。ステークホルダーである顧客・ユーザーや株主も、そこに気付き始めてくれれば変わるのでしょうかね。

辻氏：過去にちゃんとしたレポートが出てなかったら投資しないとか。聞かれた時に「セキュリティ上の理由でお答えできません」と言っている場合ではないような状況になるべきだと思っています。

北條氏：株主に聞かれたとしてもそのような回答をする企業もいますよね。本来、そんな免罪符は存在しないですし、「どこがセキュリティの問題なのか？」と聞いても回答は返ってこないでしょうね。

●「資格をとった」は信頼につながらない？

北條氏：とはいえ一般的にセキュリティと信頼というのは、どうしても担当者が持っている知識の質と量に偏りますよね。

辻氏：セキュリティ事故が起きた時の体制のような「格付け」の方が僕は必要かなと思いますね。トレーサビリティーをきちんと確保しているかどうか、ログがあるないとか、そういうレベルの話。監査に近いかもしれませんが。

　ただ、監査とか基準を作って、外圧として最初は機能していても、中身が形骸化していく問題があります。ISMSもPマークも。

北條氏：多くの企業がそのような認証を取得していますが、それでもサイバー攻撃を受けて被害に遭っているわけですよね。そうすると、そもそもそのような認証の意義があるのかということと、本当に認証を取得できるレベルだったのかという審査を行う会社の信頼性が問われても良い状況なのではないかとも思っているんですよ。審査会社もたくさんの企業を審査しないといけない状況に陥ってしまっていて、審査が甘くなっているとかはないのでしょうかね。

辻氏：セキュリティサービスって、名前で見たら一緒なんですよ。「セキュリティ監視」と掲げていても、どこまでのことをしているかっていうのは、そのサービス名称からは読めない。

北條氏：SOC（Security Operation Center、システムへの脅威を常時監視・分析する）だからといって、24時間365日監視をしないサービスもある。それをSOCって称していいんですかね。

辻氏：同じようなテーブルに乗せるなということはありますよね。監視かもしれないけど、SOCではないように思える。

北條氏：確かにそうですね。SOCというからきちんと年中無休のセキュリティ対応をしてくれると思っていたらそうではなかったと、インシデントが起きてから気づいても後の祭りです。他にも、「脆弱性診断」といっていいのか分からないサービスがありますね。

辻氏：網羅的に調べて、その範囲で全部侵入できるものを洗いだすものと、何か見つけたらそこで終わりというものが、同じ「ぺネトレーションテスト」という名前で出ています。

　僕がやっていたのはもちろん前者ですが、後者の場合は1つの脆弱性だけを見つけて、残りの可能性を探らないので対象の組織にとっての安全にも安心にも繋がらない。そういったことがトラブルになった話などもいくつか聞いたことがあります。それが同じサービスとして扱われていましたもんね。

●“ダマ”が減ったのはいいけれど……「70点の発表」が氾濫する懸念

北條氏：ランサムウェアの被害が多く発生して、一部不適切な事例も見受けられますが、多くの企業がしっかりと事故対応を発表するようになった傾向はとてもいいことだと思います。ただ、他方で、経営者がこの状況を見て「被害を受けても大したことない」と判断してしまわないかという点も一つの大きな懸念です。

辻氏：最近ではサプライチェーンが関係するので、一つ被害が発生するだけで、多くの企業に影響が出る。僕はどちらかというと、この状況下でリリースの質が変化する懸念を抱いています。他がこの程度の内容なら、うちもそれで、みたいな。同じようなことはリスト型攻撃が流行ったころに特定の業界で起きていました。

　他よりも劣ることは避けたいけど、突出する必要もないという考えで、さっきの70点で合格やったら70点でええやん、と。

北條氏：経営者は横並びを意識してしまいますからね。それに対して、対策費用をどこまで使うか。むしろかけなくてもいいんじゃないか、というような考えが増えてしまうとより大きな問題になりますね。

辻氏：増えるでしょうね。しかも、それをダメだと説得する材料がない。経営者自身の立場が脅かされないと、やっぱお金を払わないかもしれない。別に改善命令が出されるわけでもない。別に規制も働かない。

　この手の話はいつもこういうところに帰着してしまう。いつも思うんですけど……結局、攻撃者がもうかり続ける。攻撃者パラダイスですよ。これ（苦笑）

北條氏：それ、記事に書かれちゃいますけど、いいのですか？（笑）

●誰が見張りを見張るのか？　法律のこれからに感じる課題

北條氏：日本に特徴的で、海外と大きく違うと考えられているのは憲法にある「通信の秘密」だと思うんですよね。このインターネットが発展した現代においては、攻撃者を特定するためにログを取ることや、そのログを分析したり、提出したり、共有したりすることとかは、通信の秘密がネックになってきている場面もあると思います。

　この点、能動的サイバー防御に関連して、東京大学の宍戸常寿先生が語っていましたが、通信の秘密にも制限があって、例外もあるんだと述べています。その例外をどこまで広げるか、そのためのガバナンスを確保する必要があることは、今後、議論になるでしょうね。

　ログについては、取る、取らないの判断に加えて、取ったログをいつまで保存しておくのかという課題もあります。ログを持つこと自体、特定の個人と紐づくこともあるため、適切な安全管理措置を講じなければならず、これをマイナスと捉える側面もあるので、できるだけ取得したくない、取得するとしても早く消したいという考えがある。

　日本の法律でログについての保存期間を規定したものはないんですよね。自社が管理している業務やサービスに対して、必要がないのであればログを保存しないという選択も取れることになってしまいます。

　もしサイバー攻撃を受けた場合を想定して、調査ができるよう各企業は適切な期間、適切な種類のログを保存せよという規制ができたとしても、費用も相当かかることになって、守らないまたは守れない企業が一定数存在してしまい、このような企業に対して処分するのかという議論が当然に出てくる。

　先の規制の話と同様、じゃあそれを誰がどう確認して処分するのか、多数の企業を一律に処分できるのかという問題になる。それはおそらくできないので、そのような規制を作ることも相当の時間がかかると思います。

　自社のシステムに対するログですら、近年ようやくセキュリティの観点からモニタリングされるようになってきていますが、ログ自体を長期間保存していないという企業も多い。また、秘密として保存されるべきログを第三者にどこまで「提供」するかっていう問題も議論されていると思います。

辻氏：ISPからしたら、能動的サイバー防御は戦々恐々ですよ。設備投資が必要かもしれないので、それを早く知りたいと思っているでしょうね。

北條氏：そうですよね。システム的な改修やシステムの増強も必要になるかもしれませんからね。もう一つは「ハックバック」のような、能動的なハッキング（による防衛）が可能なのかという問題です。

辻氏：例えばレンタルサーバやクラウドサービスがあって、そのユーザーは日本人で、サーバが侵害されていると分かった時にハックバックして止めると、サービスが止まるんですよね。その止まった間の事業収益を誰が保証するのか。「マルウェアを消すだけ」みたいにきれいにクリーンアップできるとも思えないんです。そこでも、誰が、何をしたか、どう監督監視するのかという課題があります。

北條氏：実際に実施するとなったら警察ですかね。あるいは防衛省が実施するのかもしれません。そのやり方を誰が教えるのでしょうかね？　辻さんが教えるのですかね（笑）

辻氏：頑張らせてもらえるなら……ってやらせてもらえないですよ！

●「通信の秘密」と、世界との足並み

──通信の秘密について、日本でも議論は進んでいるのでしょうか？

辻氏：サイバー脅威に対し、諸外国の対応に並ぼうと思ったら、日本でもやはりある程度の変化はさせる必要はあると思っています。

　国と国とのサプライチェーンみたいなものの一つになれないってのもあるかなと思いますね。「お前らみたいな中身見られへんような、調べる能力もないような奴らに情報を預けられるかよ」と諸外国には見られると思います。

　でも、それが人のプライバシーを脅かしていいのかっていうと、僕はそう思わない。きちんと誰がどういうことをしているかっていうのは、透明性を担保するべきであるってことは、常々発言しています。

北條氏：2024年5月にできた「セキュリティ・クリアランス制度」は、人的なクリアランスをする制度であり、諸外国と並ぶためですよね。諸外国から、自分たちの情報を日本に預けたら、日本の人たちはきちんと守ってくれるのかっていうことですから、それと同じように、自分たちができることを日本でもやってくれるのかということだと思うんですよ。

参考：重要経済安保情報保護活用法 - 内閣府

辻氏：企業における委託先管理と一緒ですよ。

北條氏：国における委託先みたいな状況なんでしょうね。通信の秘密を保護する必要はあると思いますが、それに固執すると、攻撃者の通信も確認できないことになってしまう。

辻氏：それを見ようとすると、他の人の関係ないものも見えてしまう場合があるから、どういう風に扱っていくのかです。何でもかんでも見られるっていうのは。僕は良くないと思っていて、やっぱり権力は、ある程度監視しないといけないと思う。だから難しいですね。

　能動的サイバー防御って、自分とは関係ないと思っている人も多いと思うんですよ。でも多分、誰しも関係があることで、自分たちのところがその無力化の対象になるかもしれないわけです。

　プロバイダーの話でしょ、国がやる話でしょと思っている人多いんですけど、そういうわけじゃないんです。官民連携っての表現の中に、あなたも含まれています。この件はまだ決まってないことがいっぱいあります。でも、そういう目線で見ておいた方が、僕はいいんじゃないかなと思います。

──ありがとうございました。