“願い”と化す「情報漏えいの事実は確認されておりません」　問われる「サイバー攻撃を受けました」発表の質：辻伸弘氏×北條孝佳弁護士　セキュリティロング対談【後編】（2/5 ページ）

「レポートの質」を上げるには、誰が頑張ればいいのか

北條氏：この悪しき風潮が浸透しまうことをかなり懸念しています。ちゃんとログを保存して管理している企業がランサムウェア被害に遭ったとして、セキュリティベンダーに依頼してきちんと調べてもらったら、漏えいした痕跡が出てきます。そうすると、漏えいした事実が確認できてしまったことになるわけです。

　ログをきちんと保存していない企業の場合であっても適切なベンダーが調査した結果であれば、例えば「適切なログがないので漏えいしていないとは断定できません」あるいは「これまでの経験から調査期間より前に漏えいした可能性があります」と説明されるわけですが、ベンダーがいい加減な場合、このような説明をきちんとしていないレポートになって、公表も、適切なログがなかったにもかかわらず「情報漏えいの事実は確認されておりません」となるわけですよね。

　企業からすれば、ログなんぞ存在しない方が良いということになってしまう。そっちの方がコストも手間もかからず、影響も少なく見せることができてしまいますからね。インシデント対応において重要なログの収集をしない方が得だと考える企業が出てきてしまうのは、セキュリティの概念とは反対方向の話です。

辻氏：そういったベンダーが増えてしまうと「悪貨は良貨を駆逐する」です。割りを食うのは利用者。

北條氏：誰のためにセキュリティをやっているのか分からないですよね。ログの保存期間や種類は法定されていないですし、影響を小さく見せることができるわけですから、企業としては、このような対策で十分だと勘違いしてしまいます。そうすると、解決法がないのではないでしょうかね。

辻氏：やはり“ムチ”しかないのかもしれません。どの程度のログがあり、どの程度の調査を行った上での判断であるのかということを報告する報告先が生まれれば出さざるを得ないはず。監督官庁なのか個人情報保護委員会なのかわかんないですけど。

北條氏：個人情報保護委員会も適切な保存期間や種類のログがあった上での解析結果でなければ、漏えいのおそれは否定できないことをもっと発信しないとダメだと思いますが、なかなかされない。解析結果に対して、第三者の目線が必要だ、という話にもつながるのですが、そうなると誰がそれをやるのかということにもなってきます。

　もちろん、被害組織が知識を付けていただければ一番いいんですけど、なかなか難しいですよね。あるいは、セキュリティベンダーがきちんと真摯（しんし）な対応をしてくれればいいのですが、顧客からの依頼が増えさえすれば良いというベンダーも一定数存在する。もっとも、ベンダーも依頼してきた被害組織の言い分を聞かないといけない場面もあるのでしょうけど。

　被害組織もセキュリティ対策がきちんとできているという資格や審査について100点満点の70点で通るんだったら、90点を取る必要はなく、みんな70点を目指すようになってしまう。70点は一応の合格点ではありますが、十分な体制が整備されているとは言い難いことになります。

辻氏：その点数が、そのままかけるお金に跳ね返ってくるので、無駄にはしたくないですよね。審査ならば通りゃいいんですということに。規制というムチを作るにも時間がかかりますし。

北條氏：法令で規制をすることの何が難しいかというと、規制された内容に対応できない企業が多数存在する場合は、法令違反の企業が増えてしまうわけです。そして、それを取り締まらなかったら規制した意味がなくなる。そこがネックになって、規制はなかなかしにくいんですよね。

辻氏：基準を設けるっていうのは、指標が明確になるメリットもあるんですけど、その基準を超えるいいものが生まれなくなるというデメリットもある。難しいですね、そこは。