先週はアサヒビールがサイバー攻撃(多分ランサムウェア攻撃)を受け、業務が大幅に停止している。このようなインシデントが頻繁に起こっている現状で、企業は被害を受けた時復旧に務めるのはもちろん、取引先などステークホルダーへの説明責任も果たさなくてはならない。その中には、監督官庁・個人情報保護委員会・警察への届け出等も含まれる。
2014年のことだが、米国のソニー・ピクチャ・エンターティメント社(SPE)が北朝鮮と思しき相手からサイバー攻撃を受けた。この時、親会社のソニーGr.は、日本の監督官庁からも報告を求められた。多くの業容を手掛ける同Gr.は、複数の官庁に報告を済ませほっとしていると、金融庁から「ウチに報告がない」とお叱りを受けたと、当時の担当者がこぼしていた。ソニー損保など金融事業ももっている同Gr.だが、金融分野のことが忘れられていたのだ。慌てて既存の報告書を手直しして届け出ると、「当方のフォーマットと違う」と差し戻されたとも言う。
このような手間を省くため、産業界では報告のフォーマット統一とワンストップ化を求めてきた。その要望は、ようやく今年受け入れられ、今月からフォーマットが一本化され、窓口の一本化がされることになった(*1)。
対象がDDoS攻撃とランサムウェア攻撃に限定されているのは、これらが代表的なものであり、インフラ停止を狙うような千変万化する複雑な攻撃までフォーマット統一は難しいから。それでも被害企業としては、この2種の攻撃を受けた場合に、統一されたフォーマットで、監督官庁と個人情報保護委員会に報告し、警察に相談できるわけだ。また(望めばだが)NISCの後継組織NCOに届け出さえすれば、ワンストップ窓口になって関係機関に展開してくれることになる。
被害企業は必要以上に報告に勢力を割くことなく、復旧や原因究明に尽力できるわけだ。行政側や社会全体についても、この制度の意義は大きい。迅速に報告等が成されることで、事案の蓄積が増え分析も容易になるからだ。得られた知見(インテリジェンス)は、将来の攻撃に対する予防に利用できる。SPE社の事案から10年余、ようやくなった新制度に期待したい。
