第6回:もし情報漏えいの事件が起きてしまったら

2017-01-16

対談者
TMI総合法律事務所 パートナー弁護士 大井 哲也(写真左)
PwCサイバーサービス合同会社 上席研究員 神薗 雅紀(写真右)

万一、自分の会社や組織で、情報漏えいの事件が起こってしまったら……。事件が起こったその日(Day1)の動きは重要です。Day1に、情報漏えい元の会社は何から手を付ければ良いのか。企業の情報システム部門、法務部、広報など、それぞれの部署は、どのように対応し、何に気を付ける必要があるのか。2人の専門家が法的側面と技術的側の両方から語ります。

Day1における担当部門の緊急対応

大井 まずは、情報漏えいの事件が起こったDay1のそれぞれの部門の動きについて話したいと思います。
一番大事なのは情報システム部門ですが、情報システム部門は、初動対応として何をするべきでしょうか。

神薗 まずは、何によってインシデントに気が付いたのか、それによって、情報システム部門や、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)、その他関連部署の動き方が変わってきます。その中でも、やはり情報セキュリティマニュアルやセキュリティ運用ポリシーが整備されている企業であれば、そのマニュアルやポリシーに従って動くのが定石です。そういったマニュアルがない場合、もしくは実態に即していない場合は、インシデントが起きた内容によって手順が変わってきます。

大井 インシデントが起こったDay1に、情報システム部門は、データベースに対する調査をするのか、あるいはデータの内容を保全してから外部のベンダーを入れて、調査を開始するのかなどなど。これについて、どういう見極めをする必要がありますか。

神薗 これこそ一番の要になるトリアージ(緊急度の高い方を選別して対処すること)です。トリアージの結果次第で、CSIRTがどう判断し、どういった指示を出すかが決まるからです。同時並行で分析しながら対応するのか、あるいは、同時並行するために、その前に何かをする必要があるのか。例えばデータは保全するけれども、情報は消えないように電源をオンにしたままにして、二次被害が出ない体制を構築してから、外部の専門家にも見てもらい、自分の組織でも可能な範囲で調べるという手順で進めることが、よくあるケースです。

大井 例えば、外部の専門家を入れずに、情報システム部門が初動で動いてしまったために、データが保全できなかったなど、よくある誤った行動などはありますか。

神薗 雅紀

神薗 多数あります。例えばよくマニュアルに書いてあるのが、マルウェアに感染したパソコンのネットワークを抜くということです。そこには電源まで切るとは書いていないのですが、間違った判断により電源まで切ってしまって、サーバや端末をシャットダウンしてしまう事例が多々あります。そのために、せっかくのサイバー攻撃の痕跡を消してしまった事例もあります。さらに、ファイアーウォールやネットワーク機器などは、ログがローテーションされるので、何か起こった時は、すぐに保全をしておくべきなのですが、その手順がまとまっていなくて、いざ専門の調査会社が来た際に、当時のログがなくなってしまうケースも頻発してます。

大井 そういう意味では、情報システム部門が、Day1の対応について、知見がない場合は、外部の専門家の指導やアドバイスを受けながら動くことも必要ですね。

神薗 そのとおりだと思います。

大井 次に、管理部門の動きを見ていきたいと思います。多くの場合、情報漏えい事件が起こった、または起こってしまったかもしれないという第一報が、情報システム部門を経由して管理部門に入ってきます。
管理部門には、いろいろな機能があります。一つは情報管理を所管する管理本部です。管理本部の下に法務部があり、お客様対応をする部署があります。上場企業であれば、プレスリリースや情報の適時開示をするIR部門もあります。大きな情報漏えい事件になると、記者会見をすることがありますが、これもIR部門、またはPR部門が担当します。従って、管理部門は、管理本部、法務部、お客様担当部署、IR、PRなど、それぞれの機能を持つ部署が連携しながら対応する必要があります。
例えば、個人情報が漏れてしまった時、お客様担当部署が、被害者であるお客様に回答した内容が、PR、IR部門が発表したプレスリリースと違う内容だったら、お客様の信頼を失ってしまいます。
その点で一番大事なのは、部署を統括する管理本部に、インシデント対応本部を置き、即時に判断できる人物を責任者に置くことです。できれば、会社の社長に近い立場の方やCISO(最高情報セキュリティ責任者)、またはCIO(最高情報責任者)などの役員に相当する方が適任です。緊急性が高い事態に対応するので、自らの判断だけで、即対応できる体制を作ることがポイントです。

それぞれの部署における課題

大井 次に、それぞれの部署において、Day1で行うべき主な課題と、心掛けておくべき注意点を議論したいと思います。

神薗 情報システム部門、または技術部門は、セキュリティマニュアルに従って動くわけですが、まずは保全すること。それから、当然、インシデントを分析し現状を把握すると同時に、外部の専門家を利用する場合は事前に準備しておいたシステム構成図やサポート情報を用意し、伝達することが一番重要です。
外部の専門家と連携を仰ぐ際に、今のシステムがどうなっているのかという最新のシステム構成や状況を普段から整備して、専門家に提出できる状況にしておくことが対応の要となります。さらに各種ログの保全をし、体制を組むことです。当然、自分たちのシステムなので、自分たちが一番システムを分かっているわけです。いくら専門家が来ても、質問に適切に回答できる人がいないと、効果的な分析ができないので、一緒にチームとなって動けるメンバーを確保しておくことも必要です。
もう一つ大事なのは、先ほど述べたサポートです。おそらく、どの企業もセキュリティ製品を入れていると思います。そういった製品にはサポートが付いていて、場合によっては連絡するとサポートが駆けつけて来てくれたり、リモートで分析してくれるサービスもあるので、サポート窓口を事前に確認しておくことも大事だと思います。
あとは、これが一番重要なことかもしれませんが、今、何が起きているか、状況を“分かりやすく噛み砕いて”管理部門に知らせるという重要な役割があります。

大井 哲也

大井 では、その知らせを受けた管理部門は、何が緊急対応の課題として求められるのでしょうか。まずは、社内および社外の人から、即時にインシデントに対応するチームのメンバーをアサイン(指名)します。一番良いのは、管理部門の下にある法務部、お客様担当部署、IR、PR部門など、それぞれの部署の責任者を指名することです。その他、われわれ弁護士のような外部の専門家も指名し、インシデントの対応に当たって、どのような舵取りをするべきか、アドバイスも受けることも大事です。従って、管理部門の役割は非常に大きいと思います。
以下、個別に部署ごとに見ていきます。法務部は、漏えい対象個人の被害者に対する補償を考えます。どのタイミングで、いくら補償する必要があるのか、を考えるわけです。補償の内容を決定するわけですから、当然、事案の内容も把握していなければなりません。
お客様対応部署は、まさに漏えい対象個人のお客様からの電話対応が必要です。自分の情報が、どこに、また誰に漏れてしまったのか、どう補償してくれるのか、というクレームや質問の電話が来ますから、お客様に回答するためのシナリオを作る必要があります。大規模な漏えい事件であれば、場合によっては、インシデント対応専門の要員を抱える外部のコールセンター会社に、応援を頼むことも必要になってきます。
IR、PR部門は、上場企業であれば、適時開示する必要もありますから、第一報として速やかに、被害を受けた方々に情報を伝達し、開示することが任務です。この目的は、二次的、派生的な被害を防止し、被害を最小限にとどめることにあります。従って、事故の内容や情報をできるだけ早く、正確に知らせること、そして、被害者に向けて、今後、起こり得る可能性がある被害についても情報伝達する役割があります。
以上が管理部門および各部署のそれぞれの役割となります。

緊急対応マニュアルは、いざという時に役立つか

大井 今、申し上げたように、Day1には、それぞれの部門が、同時並行的に対応しなければなりません。そうすると、緊急対応マニュアルは、それぞれの部門の役割や動きについて、全て盛り込んでおかなければ、実効的なマニュアルにはならないと思います。実際のDay1に、マニュアルの内容を実行する段階になって、問題が起こることはありますか。

神薗 よくあるのは、マニュアルが整備されていたにもかかわらず、うまく機能していないケースです。そもそもどこにマニュアルがあるのか分からない方も多くいらっしゃいますし、報告する上司の順番を飛ばして(マニュアルとは異なる動きをして)、一気に上長まで報告してしまったために、情報が錯綜(さくそう)してしまい、間違った情報を外部に出してしまった例も多くありました。
やはり、運用マニュアルが滞りなく行うことができるものか、また、その内容が自分の会社に合っているか、あらかじめ検証しておかなければならないと感じます。

大井 平時から緊急対応のマニュアルを整備しておくことが大前提ですね。PwCさんは緊急対応マニュアルのシミュレーションや訓練なども作っているのでしょうか。

神薗 はい。PwCでは、レッドチーム演習と言って、インシデント対応の演習プログラムを提供しています。実際に、その企業で想定されるサイバー攻撃を仕掛けて、インシデントを再現することで、運用マニュアルが、問題なく運用できるかなどを検証できるものです。それぞれの企業にカスタマイズした演習を作り、さらにPeople・Process・Technologyという総合的な切り口で態勢を評価できることもあり、非常に好評をいただいています。

大井 私のこれまでの経験で言うと、管理本部の責任者、すなわちインシデント対応の責任者の方の動きが、その後の対応に非常に大きく影響してくると実感しています。中には、Day1の初動を誤って、被害者個人からの大きなクレームに発展させてしまったり、発表した内容を訂正するための記者会見を何度も繰り返したりするケースも多々あります。Day1の責任者の方の動きは、場合によっては、企業のその後の行く末を決定するほどの影響力を持つ役割があると感じます。
ですから、もし、管理責任者の機能がうまく発揮できない場合には、インシデント対応の専門家を起用するべきだと思います。
私の経験でも、インシデントが起こった企業の社長が、インシデント対応責任者になり、社長と外部者である私の2人で、全てを判断したり、または社長とCIOと私と3人で現場に入って判断したことがあります。
社長もそうですが、社員の方は通常、インシデントが起こった際に、どういう動きをすれば良いか分からないことが多いので、的確かつ迅速に判断することは、難しいと思います。やはり、普段から机上演習を行って、インシデントを体験しておく意義は大きいと思います。

神薗 おっしゃるとおりです。本来ですと、このような場合はCISOがトップに立って、皆を指揮し、引っ張っていく立場にあります。ただ、実際はCISOがその役割を果たせないために、会社全体の指揮系統や調整がうまくいかないことが、多いのではないかと思います。今のところCISOに就任されている方は、必ずしもセキュリティの専門家ではなくて、社内の内部の方が担当されているケースが多く見られます。従って、ノウハウや知見が足りないために、ハンドリングがうまくできないというのが、今の状況の問題点になっていると思います。
レッドチーム演習などを活用して、会社自身がCISOを育てる努力をしていくことも、大きな課題だと思います。

大井 やはり人材育成が重要ですね。
CISOのポジションを設けていない企業の場合、多発するサイバー攻撃に対応してCISOを新設し、外部から専門的な知見を持った方を起用するケースもあれば、自社で人材育成するケースもあります。CISOの方の初動対応が非常に大事なカギになると思います。もし、CISOのポストがなかったり、あるいは情報セキュリティの知見が乏しい方が就任している場合は、インシデント対応の場数を踏んでいる外部のPwCさんやわれわれ弁護士を取り込んで対応していくのが良いと思います。

神薗 専門家がいない場合、インシデントの対応のために、積極的に外部のベンダーや弁護士などを活用することは、恥ずかしいことではありません。場合によっては、もっと良い対策などを提示できることがありますので、ぜひ活用していただければと思います。

※法人名、役職、対談の内容などは掲載当時のものです。