何度も「サイバー攻撃への対応として、事前準備が大事」と申し上げてきた。従業員に公衆衛生のようにサイバーハイジーン教育・訓練をし、自社内のIT資産を見える化して、セキュリティの専門家を雇い、外部の関連組織(取引先・警察・監督官庁・業界団体・セキュリティ企業等)との連絡を密にするなどである。
しかし、それでも被害を完全に防ぐことはできない。被害の程度にもよるが、復旧・復興やその周知、関係先への補償など「後始末」にもずいぶんと労力がかかる。不幸なことだが被害が増えてくるにつれて、「後始末」の大変さに関する報道が多くなり、勉強させられることも多い。
サイバー攻撃受けた大阪の病院、ウイルス侵入招いた複数の業者と10億円で和解(読売新聞オンライン) - Yahoo!ニュース
本件の被害病院は、ランサムウェア被害で新規の患者を受け入れることが出来なくなり、復旧にも費用がかさんだので20億円規模の損害を受けた。被害の原因は(自社だけでなく)ウイルスの侵入経路となった取引先やこれを防げなかったITベンダーにあるとして係争していた。被害から3年近く経って、ようやく係争に決着がついたとある。
このように「後始末」そのものにも、多くの時間と労力が必要になり、ある意味「二次被害」のようなものだ。事故事例や裁判事例が多い、例えば交通事故ではここまで係争が長引くことは少ない。新しい被害事案なので、サイバー被害に関しては係争を素早く収める知恵が足りないのだ。
私の所属するシンクタンクでは「サイバー攻撃での過失割合に指針を」と題する提言レポートを公表している。
Degree-of-Negligence-in-Cyber-Attacks.pdf
上記に挙げた交通事故などのほか、サイバー攻撃以外のインシデントの後始末の仕方に学ぶことで、被害を受けた企業と踏み台になったり被害のきっかけを作ってしまった企業の係争にかかる労力を減らそうという内容になっている。
<続く>
