インシデントが発生した際に迅速に情報共有を行うことは、被害組織で起きた事象の解決に役立つだけでなく、他組織における同事象の発生を予防することにも寄与します。公開するべき情報とそのタイミングを正しく判断できれば、被害情報による風評被害を恐れて事象への対処が遅れるといった人的ミスを予防することができます。
今回はインシデントレスポンスの中でも特に、不正アクセス被害を受けた際の情報公開の方法に焦点を当て、2023年3月8日に総務省、内閣官房内閣サイバーセキュリティセンター、警察庁、経済産業省の連名で発表された、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[i]に基づいて解説を行います。
はじめに
サイバー攻撃の脅威は情報漏えいだけに留まらず、ランサムウェアをはじめとする金銭の直接的な窃取にまで及んでおり、企業におけるその課題感は高まっています。このような状況の中で、セキュリティ対策の重要性がより一層認識されるようになり、多くの企業では社員教育を含むセキュリティガバナンスの見直しを積極的に行っています。
一方で、毎年一定数のサイバー攻撃による被害報告がなされているのが実情です。サイバー攻撃情勢の一例として、総務省が毎年公開している「不正アクセス行為の発生状況」[ii]を以下のグラフにて紹介します。
2013年から2022年までの不正アクセス認知件数
※総務省「不正アクセス行為の発生状況」をもとに、NRIセキュアが作成
グラフに記載されている発生件数は、都道府県警察が不正アクセス被害に関する届出を受理したものや、報道、関係資料などその他の方法を通じて不正アクセスの事実を確認できたものを基に集計された結果です。これらの数字はあくまで氷山の一角に過ぎず、認知されていない攻撃や公表されていないインシデントを考慮に入れると、実際には水面下でさらに多くの不正アクセスが行われていると推測されます。
このような状況を鑑みると攻撃を防ぐためのセキュリティ対策を怠らないことは前提として、実際にインシデントが発生した際に対処するためのインシデントレスポンス体制の構築が非常に重要です。また、複雑で巧妙化する攻撃手法に対応するためには組織間の連携が不可欠ですが、インシデント発生時の情報共有プロセスに関しては各社の裁量に任されているため、改善の余地があると考えられます。
「サイバー攻撃被害に係る情報の共有・公表 ガイダンス」を解説
どのようなガイダンスか?
「サイバー攻撃被害に係る情報の共有・公表 ガイダンス(以下、ガイダンス)」は、不正アクセス被害を受けた組織のセキュリティ担当部門や法務・リスク管理部門などを想定読者として設定しています。
ガイダンスでは、サイバー攻撃の被害に関する情報について、関係者と共有するための指針が示されており、被害組織が情報共有や被害の公表を迅速かつ効果的に行うための参考ポイントが解説されています。
本稿ではその内容を簡単にご紹介します。
「情報共有」と「被害公表」の違い
インシデント対応の一環として考えられている情報公開における「情報共有」と「被害公表」ですが、これまでは被害組織が外部に情報を連携する行為として一括りに考えられてきました。ガイダンスではこれらの違いについて解説しています。
「情報共有」
まず「情報共有」について、ガイダンスでは「非公開の情報共有活動や専門組織間で行われる技術的な情報交換」を意味すると述べられています。情報共有の目的は、被害組織が発生したインシデントに対応するために不足している情報を確認すること、他組織が被害を受けることを未然に防ぐことの2種類に大別され、組織間の相互補完を大目的としています。扱う情報も必然的に機密度の高いものとなるため、公開範囲は外部の専門組織に限定することが基本となります。
「被害公表」
「被害公表」は、法的な要求や、特定の基準や規定に基づいて実施される公表と被害組織の自主的な公表の二種類に大別されます。特に後者は、被害組織が自己の判断に基づいて行うため、被害組織の裁量に大きく依存しています。「被害公表」にて扱う情報は、規定にて求められる項目や被害組織のサービス影響範囲に応じて異なるため、事前準備が欠かせない分野と言えます。
以下の表に示すとおり「情報共有」と「被害公表」はどちらも外部に情報を発信する行為ですが、それぞれ目的と扱う情報が異なります。インシデントレスポンスにおいてはこれらの違いを認識した上で、更にどのような情報を、どのタイミングで、どのような組織に連携するかを考慮することで迅速な対応が可能となります。
「情報共有」と「被害公表」の違い
| 情報公開の種類 | 目的 | 公開先 |
| 情報共有 |
|
情報共有活動 |
| 被害公表 |
|
社会全体/ステークホルダー |
インシデント発生時の情報公開
インシデント発生時に情報公開をするために必要な準備について紹介します。
「どのような情報」を公開するか
まずは攻撃被害時の情報を整理する必要があります。以下はガイダンスにて示されている攻撃被害時の情報とその分類をまとめた表です。サイバー攻撃の被害に関する情報は大きく2つのカテゴリーに分けられます。
サイバー攻撃被害時の情報とその分類
| 分類 | 情報 | 性質 |
| 被害内容・対応情報 | 被害組織名 | ある程度調査期間を経なければ判明しない情報や、ステークホルダー等との調整が必要な機微な情報が含まれるため、公表までに時間がかかる情報 |
| 業種/規模 | ||
| 被害内容 | ||
| タイムライン(対応状況) | ||
| タイムライン(技術情報) | ||
|
被害内容・対応情報/攻撃技術情報 (どちらの分類にもなり得る) |
攻撃対象システム | |
| 被害対象の対策状況 | ||
| 攻撃主体に関する情報 | 個別の被害組織には紐づかず、対応初期で見つかりやすく、早期に情報共有しなければ得られない情報 | |
| 攻撃技術情報 | 脆弱性関連情報等 | |
| その他TTP(戦術・技術・手順) | ||
| マルウェア | ||
| 通信先 |
※「サイバー攻撃被害に係る情報の共有・公表 ガイダンス」をもとに、NRIセキュアが作成
被害内容・対応情報
被害そのものや被害組織の対処内容を示す情報であり、どの組織が被害を受けたか(被害組織名)や、被害の内容(例えば、データの盗難やシステムの破壊など)が含まれます。また、被害を受けた組織がどのように対応したか(例えば、セキュリティの強化や被害の修復方法)もこのカテゴリーに含まれます。被害組織を特定し得る、公開までに時間がかかる情報です。
攻撃技術情報
攻撃手法/攻撃者の活動を示す情報です。攻撃者がどのような手法を使ったか(例えば、フィッシングメールやソフトウェアの脆弱性を利用した攻撃)が含まれます。また、攻撃に使用されたマルウェア(悪意のあるソフトウェア)の種類や、攻撃者が利用した不正な通信先(攻撃者が情報を送受信するために使用するサーバーなど)に関する情報も含まれます。被害組織の特定には至らず、早期に情報共有することでインシデントレスポンスに役立つ情報です。
「どのタイミング」で公開するか
サイバー攻撃被害に関する情報を整理することで、どの情報をどのタイミングで公開するべきか判断が可能となります。仮に情報が整理できていなかった場合、情報調査や公開にあたってのステークホルダーとの調整に追われることで、然るべきタイミングで然るべき情報を公開できずに遅延することが予想されます。
例えば、被害組織が調査を終えて被害公表した際に以下の情報を提示したとします。
X月Y日に、Aという攻撃手法でB社内部に不正アクセスされた。Cというマルウェアに感染して、D情報が漏洩した
先程の分類に照らすと、様々な情報が混在していることがわかります。まず、Aという攻撃手法、Cというマルウェアは攻撃技術情報です。これは被害初期に情報共有すべき内容で、調査前に共有すればインシデントレスポンスに資する情報が得られたはずです。被害公表の段階まで残しておくべきなのは被害内容・対応情報に当たるB社内、D情報となります。
では、それぞれの情報はどのタイミングで公開するべきなのでしょうか。ガイダンスには以下に示すチェックリストが掲載されており、情報の分類とそれに応じたタイミングについて簡易的に確認ができます。
情報共有と被害公表における情報の種類のチェックリスト
出所:「サイバー攻撃被害に係る情報の共有・公表 ガイダンス」
予め整理した情報分類に対して、被害時に入手した情報を照らし合わせることで、どの情報をいつ公開するか円滑に判断することが可能になります。
「どのような組織」に公開するか
報告先の組織も情報の分類に応じて変化があり、タイミングも異なります。攻撃技術情報は早期のタイミングで情報共有活動のハブ組織(JPCSRT/CCやサイバーセキュリティ協議会等)に情報共有することが望ましいです。また、提携している専門機関があればそちらに依頼して、攻撃に関する情報共有を依頼することも選択肢の一つです。
被害公表時は基本的にはプレスリリースや SNS 等を通じて、被害内容・対応情報を公開情報として発信することが基本となります。被害サービスによっては行政機関への報告が定められているものもありますので、そちらの事前確認が必要となります。また、ガイドラインでは、犯罪捜査を通じた抑止力の向上を目的として、警察への通報・相談報告などを行うことも推奨されています。
おわりに
不正アクセス被害が発生した際に情報公開を円滑に行うための「サイバー攻撃被害に係る情報の共有・公表 ガイダンス」を簡潔にご紹介しました。被害に関連する情報を適切に分類し、情報公開の目的に応じた判断を加えることで、情報公開時に「どの情報」を「どのタイミング」で「どの組織」に報告すべきかを効果的に整理することが可能になります。「サイバー攻撃被害に係る情報の共有・公表 ガイダンス」本文にはFAQ形式で情報公開活動に関するベストプラクティスをまとめているため、そちらもご確認いただければと思います。
弊社ではインシデントレスポンスに必要となるCSIRT構築支援サービスを始めとした様々なサービスをご提供しております。セキュリティに関してお困り事がありましたら、是非ご相談いただけますと幸いです。
[i] NISC「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」より「サイバー攻撃被害に係る情報の共有・公表ガイダンス」
概要:https://www.nisc.go.jp/pdf/council/cs/kyogikai/guidance2022_gaiyou.pdf
本文:https://www.nisc.go.jp/pdf/council/cs/kyogikai/guidance2022_honbun.pdf
本稿ではそれぞれの文書より情報を引用しております。
[ii] 総務省「不正アクセス行為の発生状況」
令和5年:https://www.soumu.go.jp/main_content/000868634.pdf
令和元年:https://www.soumu.go.jp/main_content/000671872.pdf
本稿ではそれぞれの資料の「不正アクセス行為の認知状況」を参考に、過去10年間の不正アクセス行為の認知数をまとめています。
