このブログは、セキュリティに十分配慮している人たちが、「もしもの場合に備えて」参考にしようと読んでいると信じたいのですが、インシデント対応策を講じておらず、すでにデータ侵害の被害を受けてしまった人もいるかもしれません。
被害に遭った方には同情を禁じ得ません。(売り上げ低下やサブスクリプションの減少につながる)評判の低下、スタッフの士気の低下、コンプライアンス違反に伴う制裁金、違反調査に関連する想定外の費用、セキュリティ強化対策、PR・マーケティング・上層部によるダメージコントロール、など、様々なことに対峙しなければならず、暗澹たる気持ちになるでしょう。
狙いを定めて集中的に攻撃すると、執念深いハッカーなら大抵は成功の糸口を見つけます。つまり、100%安全なものは存在しないと言って過言ではないでしょう。会社の規模や侵害に至った原因(フィッシング、ランサムウェア、パッチが適用されていないソフトウェア、またはその他の脆弱性)にかかわらず、データ侵害は発生します。セキュリティ対策が講じられていたとしても、被害はゼロにはなりません。
だとすれば、何をするのがいいのでしょうか?セキュリティ対策を講じても侵害されるなら意味がないからやらない、というのは詭弁です。侵害されやすさは、セキュリティ対応策がなければ大きくなり、罰則もより厳しいものになりますから、セキュリティ対策は常に配慮することが基本です。その上で、それでも被害になってしまったら、できることは、将来の事業運営への影響を最小限に抑えることです。4つのポイントを説明します。
1. データ侵害を隠さない
不運だと嘆き、責任者を見つけて問いただしたくなるでしょうが、データ侵害を受けた企業がまず最初に行うべきことは、侵害の正確な分析ができる前であっても、インシデントを告知することです。もし、発表前に社員から漏れたり情報を嗅ぎつけた新聞記者にすっぱ抜かれたりすると、重大な信頼性問題に発展するでしょう。事態がさらに悪化するだけですから、腹をくくって正直に発表することが第一です。
EUのGDPR は、データ侵害が発見されたら3日(72時間)以内に報告するよう規定していますが、要件は産業や地域によって異なります(米国の医療データの場合は HIPAA、クレジットカードの処理に関しては PCI-DSS など)。1年以上にわたって侵害を隠し、影響を受けたデータを削除して沈黙を守るためにハッカーに報酬を支払ったUber を他山の石にしてください。彼らは、米国( 1億4800万ドル)とヨーロッパ(120万ドル)で莫大な罰金を科されました。
2. 事実が明らかになるまでは何もコミットしない
データ侵害が発見されたら早急に告知し、調査が進行中であることを伝え、最新情報の入手に全力を尽くしてください。そして、フォレンジック調査団を組織して、侵害の原因と侵害されたデータの性質を追跡することが重要です。
調査を確実に成功させるには、重要なフォレンジックデータが上書きされないように、運用を停止する必要があります。まだRAMバッファーにあるデータでも、ブリーチへの情報を提供できます。原因が特定できた段階で、データが侵害された人たちに最新情報を伝え、パブリックにします。事前に法律やITの専門家に問い合わせて、すべての情報が正確であることを確認してください。Yahoo はこの点で失敗して、度重なるデータ侵害を受け、影響を受けたユーザーの数を継続的に増大させました。ユーザーベースで、最初の推定では5億だったのが、30億アカウントまで拡散しました。
特定されたセキュリティホールを塞ぎ、データの追加損失を防ぐのは当然のことですが、これは、データ侵害情報の詳細を公にする前に実行する必要があります。
3. 侵害の詳細を共有する
脅威はどんどん進化しているので、セキュリティ専門家に警告する役割を担う組織にデータ侵害情報を報告して共有することが大変重要になります。データ侵害情報の共有に関与している組織はたくさんあり、地域や産業によって特有のオプションがある場合もあります。「脅威インテリジェンス」または「SIEM」などで検索すると、脅威の共有に関与する組織が見つかるはずです。データ侵害の詳細をオープンに共有することは、一般の人々からは好意的に受け止められると思います。セキュリティ意識を持った企業として、具体的に可能なことを積極的に行っていることを示すことが大切です。
もちろん、社員が明らかなフィッシング攻撃にまんまと騙されてしまったような、レベルの低い原因であれば、企業にとっては大きな恥です。ただし、原因が何であれ、たとえ恥ずべき事でもきちんと公表すれば、あとの判断は世論に任せるしかありません。不幸中の幸いで、潔い態度を世間が好感をもって迎えてくれるかもしれません。
4. セキュリティ強化を共有する
同様のデータ侵害が発生しないようにするために何をしましたか?侵害の重大度によっていろいろなことが起こります。たとえば、Target は CEO を解雇し、そのすぐ後には CIO が辞任しました。1億1,000万人のアメリカ人がデータ侵害の被害にあった事件はこのような結果になりましたが、そこまで深刻ではない場合、事後策として、次のようなことが考えられます。
- CIO、最高情報責任者、の役割を担う役員が存在しない場合は、CIO を任命する
- サードパーティのセキュリティ会社からの支援を受けて、セキュリティ強化のための機能を実装する
- 高度なセキュリティトレーニングを実施できる追加スタッフを雇用する
- セキュリティ脅威の進化に応じて定期的に侵入テストを実施する
データ侵害の被害を受けた後、組織が誠実に対処したことが分かれば、顧客は引き続きビジネスを続けてもいいと思うことが期待されます。いったん離れた顧客が戻ってくる可能性も出てくるでしょう。継続的にセキュリティテストが行われていることを認識できると、顧客はその組織がデータ保護に熱心であるとして高く評価する傾向があります。顧客にそういう認識をしてもらうことが大切です。
企業のブランドが好感をもって受け入れられている場合、つまり、人に優しい、環境に優しい、サービスや製品の品質が卓越している、などの高い評価が確立していれば、データ侵害後の評判の回復もしやすい素地があると言えます。Target (昔ながらの代表的な例) は、重大なデータ侵害から事実上回復しましたが、Uber は、競合他社や規制当局などへのスヌーピングやハッキングなどで告発され、反感がいっそう強まっています。侵害が発生した場合は特に、追い打ちをかける新しいスキャンダルや内部紛争は、是が非でも回避すべきです。
まとめ
そもそもデータ侵害は発生しないに越したことはありません。顧客データを保護するのは企業の責任であり、セキュリティに対する事後的なアプローチではなく、発生を防ぐ事前策を充実させるべきです。
起こらないよう入念に準備した上で、それでも起こり得るデータ侵害に備えましょう。インシデント対応計画を策定してください。この、exabeam の記事は読む価値があります。テンプレートへのリンクも含まれており、ドキュメントを最初から作成する手間が省けます。
我が社は大丈夫だろうという盲目的な楽観主義は捨てて、万一の場合に備えて潜在的なリスクを軽減するプロセスを策定しておきましょう。