サイバー攻撃、素早い初動対応が自社を救う!
AIG損保 事業者さま向けメールマガジン (弊社配信)
1 セキュリティ対策と併せて危機対応の整理・確認を
近年、中小企業を狙ったサイバー攻撃が増えており、大企業だけではなく中小企業においても、セキュリティ対策を進める必要性が高まっています(詳しくは、本コラムと同日付で配信されているもう1つのコラムをご覧ください)。
もっとも、どれだけ厳重なセキュリティ対策を実施しても、サイバー攻撃を100%防ぐことは難しく、平時のセキュリティ対策と併せて、実際にサイバー攻撃を受けた際の危機対応について、事前に整理・確認しておくことは、いわば車の両輪として必要不可欠です。
本コラムでは、実際にサイバー攻撃を受けた際の危機対応とその際に必要となるデジタル・フォレンジックについて、概要を解説いたします。
2 初動対応の重要性 ~迅速かつ適切な初動対応が二次被害を防止する~
情報の漏えいやデータの改ざん・消失は、それ自体、企業に経済的損失、さらには社会的信用の失墜をもたらしますが、現実には、事故発生直後の初動対応を誤ってしまったために、さらなる損害の拡大や信用の失墜を招いてしまう例が少なくありません。
迅速かつ適切に初動対応を行うことで、被害を最小限にとどめられることはもちろんのこと、原因究明と再発防止に向けた措置を迅速に講じることで、事故や不祥事が発生する前よりも、顧客や取引先からの評価を高められる場合もあります。
サイバー攻撃を受けた場合を含め、企業において何かしらの事故や不祥事が発生した場合、初動対応を迅速かつ適切に行うことが重要なことを、まずは確認しておきましょう。
3 サイバー攻撃を受けた場合の対応
~改ざん・消失・破壊・サービス停止等を念頭に~
それでは、実際にサイバー攻撃を受けた場合、どのような対応が求められているのでしょうか。
緊急時に取るべき対応については、情報等の漏えい・流出か、それとも改ざん・消失等といった被害の種類や程度等によって異なります。本コラムでは、サイバー攻撃により情報やデータの改ざん・消失、さらにはサービスの停止が発生してしまった場合を念頭に、緊急時に取るべき対応について見ていくことにしましょう。

まず、サイバー攻撃を受けたおそれがある場合は、被害を拡大したり証拠を消してしまうおそれがあることから、セキュリティ会社と直ちに連携することが肝要です。
サイバー攻撃による情報やデータの改ざん・消失等の事実を発見した場合、すぐに自社の緊急時対応マニュアルに従い、対応責任者に報告し、情報の集約と指揮命令系統を確立することが求められます。
そして、速やかに改ざんや消失等が生じた原因を特定するための調査を開始したうえで、被害の拡大を防ぐため、二次被害の防止に向けた措置を講じます。
併せて、対応責任者は、社内に周知するとともに、情報システムの担当部門とも連携し、どの程度で復旧が可能かを見極めることになります。
そのうえで、改ざんや消失をした情報・データ等について、復旧・修復措置を行いつつ、取引先等に迷惑を掛ける場合には、必要な範囲で情報を共有し、その対応に当たります。
そして、データ等の復旧後は、同様の手口のサイバー攻撃に遭わないように、原因対策を実施するとともに、必要に応じて、対応結果や対策について公表することになります。
なお、情報やデータの改ざん・消失等ではなく、漏えいや流出が生じた場合には、上記のフローに加え、被害者への対応や個人情報保護委員会などの監督官庁への届出等の作業も必要になることに注意してください。
4 デジタル・フォレンジックとは?
サイバー攻撃を受けた、または、受けた可能性がある場合には、原因の特定ならびに情報漏えいの影響範囲の解析をするため、対象となる電磁的記録の証拠保全及び調査・分析を行うことをデジタル・フォレンジックといいます(なお、デジタル・フォレンジックについて法的な定義はなく、データ等の復旧措置までを含めてデジタル・フォレンジックと言われていることもあります)。

デジタル・フォレンジックは、調査・分析をする対象ごとに、上記の3種類に分類されることが一般的です。
前述のとおり、サイバー攻撃を受けた場合、原因の特定等のため、デジタル・フォレンジックが必要となるところ、その費用は、調査の種類と範囲により異なります。比較的軽微な事案でも数十万円、相応の規模の事案ではフォレンジック費用だけで数百万円に及ぶ場合もあり、デジタル・フォレンジックのため、企業には大きな支出が必要となります。
このため、最近では、サイバー攻撃を受けた場合に備え、損害保険を活用する企業も増えてきています。
5 危機対応は時間との戦い
サイバー攻撃を受けた場合の危機対応は時間との戦いです。攻撃の兆候を察知してから、対策を講じるまでに時間がかかってしまうと被害が拡大してしまいます。
特に、最近では、大企業を攻撃するための侵入口として、取引先や系列先の中小企業が狙われるサプライチェーン攻撃が増えており、被害の範囲は自社だけにとどまりません。
経営者のリーダーシップの下、迅速かつ適切な対応ができるように、日頃から準備を進めておくことが求められています。
(このコラムの内容は、平成31 年3月現在の法令等を前提にしております)。
(執筆)五常総合法律事務所 弁護士 持田 大輔
深刻化するサイバー攻撃の手口とは?
AIG損保 事業者さま向けメールマガジン (弊社配信)
1 狙われる中小企業
~中小企業を足掛かりとした大企業へのサイバー攻撃の増加~
近年、企業が有する個人情報や営業秘密等を不正に入手することや、ネットバンキングを通じて不正送金を行うなど、企業に対するサイバー攻撃が増加しています。
サイバー攻撃の対象として狙われるのは、誰しもが知っている大企業や著名なインターネットサイトばかりではありません。最近では、サイバー攻撃への対策が進んでいる大企業は直接狙わずに、その取引先である中小企業を攻撃し、そこから大企業への侵入を試みるいわゆる「サプライチェーン攻撃」が増えています。
このように企業の規模を問わずサイバー攻撃に関するリスクが増えている一方で、人手や予算の問題から、まだまだ十分なセキュリティ対策が出来ていない中小企業が多いのも実情です。
大阪商工会議所が平成29年3月から6月にかけて実施した「中小企業におけるサイバー攻撃対策に関するアンケート調査 」では、約3割の中小企業が「サイバー攻撃を受けた経験あり」、約7割の中小企業が「現在実施している情報セキュリティ対策で十分ではない」と回答したと公表されています。
そこで、本コラムでは、知っておきたいサイバー攻撃の種類、サイバー攻撃を受けた際に生じる不利益等について、概要を解説いたします。
なお、実際にサイバー攻撃を受けた場合の対応等については、本コラムと同日付けで配信するもう1つのコラムをご覧ください。
2 知っておきたいサイバー攻撃の種類
はじめに、サイバー攻撃にはどのような種類があるのか、主だったサイバー攻撃について、その内容を見ていくことにしましょう。

まず、①標的型攻撃とは、特定の個人や企業に絞り、メールなどでサイバー攻撃を仕掛ける攻撃をいいます。メールに添付したファイルを開かせ、ウイルスに感染させることにより、攻撃者が外部からパソコンを遠隔操作したり、パソコン内部の情報を盗み取って外部へ送信したりすることが一般的です。
次に、②ランサムウェアを使った業務妨害等があります。ランサム(ransom)とは「身代金」を意味し、メールに添付されたランサムウェアを不用意に開かせることで、パソコンをロックしたり、内部データを暗号化し、使用できない状態に陥らせます。そして、ロックの解除や暗号化されたファイルの復元と引き換えに金銭を要求してくることもあります。
また、自社のウェブサービスで顧客の個人情報やクレジットカード情報を取得している場合、ウェブサービスでよく使われているOpenSSLやWordpressなどのソフトウェア、あるいはウェブアプリケーションの脆弱性を狙い、ウェブサービスから情報が窃取されることもあります(③)。
その他、最近では、経理業務の効率化のため、インターネットバンキングを利用している中小企業も増えてきましたが、添付ファイルなどから不正送金ウイルスを侵入させ、入手した認証情報を悪用してネットバンキングにログインし、そこから第三者の口座に送金を行う不正送金(④)の被害も増えてきています。平成27年には、1件あたり9100万円もの被害が生じた事案も発生しており、全体として30億円余りの被害が報告されています。
このように、一口にサイバー攻撃と言っても、その手法は多様化かつ巧妙化している点をまずは押さえる必要があります。
3 サイバー攻撃を受けた際に生じる企業の不利益
次に、サイバー攻撃を受けた場合、企業にはどのような不利益が生じるのかを見ていくことにしましょう。

まず、顧客の個人情報や取引先の機密情報を漏えいさせてしまった場合、顧客や取引先から損害賠償請求を受けるなど、漏えい元の企業には①金銭的損害が発生します。
また、サイバー攻撃を受け、情報に関する事故を生じさせてしまうと、企業にどの程度の落ち度があったのかにかかわらず、厳しい管理責任が問われ、レピュテーション(社会的評価)が低下し、結果として②顧客の喪失を招いてしまうことが一般的です。
そして、ウイルス等により業務システムに事故が生じると、原因調査や被害の拡大防止のため、システムの停止やネット環境を遮断しなければならなくなり、③業務が停滞し、納期の遅れや営業機会の損失が生じます。
このように、サイバー攻撃を受けると、金銭的損害はもちろん、顧客の喪失や業務の停滞など、経営に直結する重大なリスクが発生し、事案によっては、企業や経営者が法的な責任を追及されることもあることから、日頃からサイバー攻撃に備えたセキュリティ対策を実施しておく必要があります。
4 求められるセキュリティ対策
~サイバーセキュリティ経営ガイドライン等の活用~
それでは具体的にどのようなセキュリテイ対策を講じれば良いのでしょうか。
経済産業省では、各企業において効果的なセキュリティ対策を進めることができるように、経営者が認識すべき3原則や10個の重要項目等を定めた「サイバーセキュリティ経営ガイドラインVer2.0」を公表し、同ガイドラインを踏まえた対策を推奨しています。
経済産業省ウェブサイト:https://www.meti.go.jp/policy/netsecurity/mng_guide.html
また、同ガイドラインの内容を踏まえ、中小企業において、自社で具体的な対策を講じることができるように、独立行政法人情報処理推進機構セキュリティセンター(IPA)からは「中小企業の情報セキュリティ対策ガイドライン(第3版)」が公表されるなどしています。
IPAウェブサイト:https://www.ipa.go.jp/security/keihatsu/sme/guideline/
中小企業においてもITの利活用が進む一方で、前述のとおり、サイバー攻撃の手法は多様化しており、事業に悪影響を及ぼすリスクはますます高まっています。
本コラムを機に、これらのガイドライン等を参照しながら、自社のセキュリティ対策について、今一度、確認をしてみてください。
(このコラムの内容は、平成31 年3月現在の法令等を前提にしております)。
(執筆)五常総合法律事務所 弁護士 持田 大輔