エスクリブ COLUMN

昨今の情報セキュリティ事故に学ぶ緊急時の対応(後編)

  • 投稿日:
  • by

前回は「情報漏えい事故が起きた場合の対応と平時の準備についてのポイント」をご紹介しました。今回の後編では「情報漏えい事故が起きた場合の基本的な対応」について、解説をさせて頂きます。
対応の仕方は、「漏えいした情報の機密性」や「誰の情報か」等によって異なりますが、基本的な対応ステップについて把握しておくことは重要です。これを基に自組織に見合うプロセスを検討するとよいでしょう。いくつかのステップを同時進行で進めることも必要になってきます。

security3.jpg

【情報漏えい対応の基本ステップ】

  1. 情報漏えい事案の発見・報告
    まず、自組織の内部者が情報漏えいに関する兆候や具体的な事実を確認した場合、また外部から通報があった場合で、それぞれ情報セキュリティ責任者に報告するルートを明確にしておきます。その後、情報漏えい対応のための体制が速やかに整わなければなりません。不正アクセスや不正プログラムなど情報システムからの情報漏えいの可能性がある場合は、不用意な操作をせず、システム上に残された証拠を消してしまわないようにしなければなりません。
    構内ネットワークが有線LANによる場合はLANケーブルを抜き、無線LANの場合はネットワークから切断し、シャットダウンはしないようにします。なお、外部の通報者の連絡先等を控えておくことも重要です。
  1. 初動対応
    対策本部を設置し当面の対応方針を決定します。情報漏えいによる被害の拡大、二次被害の防止のために必要な応急処置を行います。
    情報が外部からアクセスできる状態にあったり、被害が広がる可能性がある場合には、これらを遮断する措置が最優先です。次に情報の隔離、ネットワークの遮断、サービスの停止などを検討し、実施します。これらをスムーズに進めるためには担当部署の役割と責任を明確にするとともに、情報セキュリティ責任者が司令塔として機能しなければなりません。
  1. 調査
    初動対応と並行して調査を進める必要もあります。適切な対応についての判断を行うために、5W1H(いつ、どこで、誰が、何を、なぜ、 どうしたのか)の観点で調査し情報を整理します。また、事実関係を裏付ける情報や証拠を確保することが必要です。
  1. 通知・報告・公表等
    漏洩した個人情報の本人、取引先などへの通知、監督官庁・警察・IPA(独立行政法人情報処理推進機構セキュリティセンター)などへの届出、ホームページ・マスコミ等による公表を検討します。漏洩した個人情報の本人に被害が及ぶ可能性がありますので、特別な理由がない限り本人に通知を行います。また、紛失・盗難のほか不正アクセス、内部犯行、脅迫等不正な金銭の要求など犯罪性がある場合は警察へ届出ます。
    対処方法や手続き等が分からない場合は、監督官庁、警察、IPA、セキュリティベンダー等に相談することも可能です。
    すべての関係者への個別通知が困難な場合や、広く一般に漏えい情報による影響が及ぶと考えられる場合などは、ホームページでの情報公開や記者発表による公表を行います。但し、情報の公表が被害の拡大を招く恐れのある時は、公表の時期や対象などを考慮した方がいいでしょう。
  1. 抑制措置と復旧
    情報漏洩によって発生した被害の拡大の防止と復旧のための措置を行います。専用の相談窓口を設置し、被害が発生した場合にはその動向を素早く把握し、適切な措置を行うようにします。また、再発防止に向けた具体的な取り組みを検討・実施し、安全確認をした上で停止したサービスやアカウント、遮断したネットワーク等の復旧をして行きます。
  1. 事後対応
    抜本的な再発防止策を検討し実施します。また、調査報告書を経営陣に提示し、被害者に対する損害の補償等について必要な措置を行います。事故を引き起こした要因が内部職員や委託先による場合は、その責任追求のため規則・契約等に従い罰則規程や処分を科します。また、場合によってはこれらの処置等について情報開示を行うことも必要です。

調査は、「初動対応~通知・報告・公表等~抑制措置と復旧」と進めて行く中で並行して行うプロセスとなります。重要なのは混乱せずに的確な措置を進めて行くことですが、そのためには机上でも構いませんので、平時にシミュレーションをすることが効果的です。

3回に分けて情報セキュリティ事故による緊急時の対応をご紹介しましたが、重要なのは「組織体制の構築」「対応フローの明確化」「準備(シミュレーション)」です。無防備ではパニックになり、顧客・取引先・社会等からの信用を失うことになりますので、是非「備えあれば憂い無し」の精神に則って整備と準備を心掛けて下さい。

著 佐藤 雅英