サイバー攻撃発生、そのとき経営陣は何をすべきか? ~初動対応と顧客対応が信頼回復を左右する~
目次
1.はじめに
2.サイバー攻撃の現実と失敗・成功事例
3.経営者が判断を誤る理由
4.インシデント対応の鉄則
5.インシデント対応の理想と現実
6.付録 初動対応チェックリスト
7.あとがき
1.はじめに
CTOの青嶋です。私はこの四半世紀、国家レベルのサイバー攻撃から中小企業のセキュリティ事故まで、数多くのインシデント対応現場に関わってきました。
その中で、攻撃を受けた組織の経営陣が視野狭窄に陥ってしまい、最終的なステークホルダー対応の誤りから信用を損なう場面を数多く見てきました。
一方で、適切な初動対応により信頼を高め、事業成長につなげた組織も存在します。
本資料は、そうした成功に導く「初動対応の要点」に焦点を当てた内容です。
また、本記事でも触れているフォレンジック調査については、先日弊社blue teamリーダー横尾が執筆した『フォレンジック調査の手順と流れ:セキュリティ調査で何が行われているのか』も一読いただければと思います。
【対象者】
本資料は、経営者の方に直接届かないケースくことが難しい場合を想定し、経営陣や情報システム担当など等、初動対応の判断やおよび経営者への助言を行う方々に向けて作成しています。
【経営者と経営陣】
本資料において経営者とは最終的な意思決定権者を指し、経営陣とはその判断を専門的知見で補佐する役員や経営企画組織を指します等になります。以下は、経営者のリーダーシップの下、サイバーセキュリティ対策を推進するための事前対策としては参照資料です。
【想定する対象事案】
本資料は、特に以下の条件に当てはまる事案・組織を対象としています。
原因:不正アクセス、マルウェア感染(ランサムウェアを含む)
被害:顧客と営業秘密の情報漏洩
組織体制:CSIRTが存在しないまたは存在するが形式的な組織
【ステークホルダー】
事業継続におけるステークホルダー(影響を与える利害関係者)は多く存在しますが、
今回は以下の関係者への対応とその観点について解説します。
- 株主(投資家への情報提供と信頼維持)
- 社員(インシデント対応要員、問い合わせ対応要員)
- 取引先(取引継続と契約上の責任)
- 顧客(通知・説明責任、信頼回復)
- 社外委託先(クラウド・業務委託先)
- 監督省庁(届出義務・法令および規制対応)
- 監査法人(内部統制・報告義務)
- メディア(情報伝達・世論への影響)
- 外部専門家:インシデントハンドリング/解析/診断/ネット調査など(事実の抽出と分析・影響確認・第三者)
- 捜査機関(事件性のある場合・第三者)
2.サイバー攻撃の現実と失敗・成功事例
事例1
BtoBサービスを提供するA社は不正アクセスによってランサムウェア被害に遭った。
経営者は早期復旧こそが顧客のためになると信じ「2週間でのサービス再開」を宣言。
しかし、その根拠のない復旧計画は主要顧客から厳しく拒絶される。
結果、初動の過ちが原因で調査が難航し、サービスの再開に2ヶ月、全社的な安全宣言までに3ヶ月を要した。
その後も定期的な安全性報告を求められるなど、重い代償を払うことになった。
【経緯】
- ランサムウェア被害を認知後、経営陣は直ちに外部専門家へフォレンジック調査を依頼した。しかし、提示された見積もりが想定より高額だったことから、経営者は「調査は最小限に。とにかく復旧を急げ」と方針を変更した。
- この経営判断によって、原因や影響範囲の特定が不十分なまま、顧客へ「2週間後にサービス再開」と通知した。
- しかし、主要顧客であるB社はこれに強く反発した。B社はA社の技術レベルを把握しており、「攻撃の全容も説明できていない状況でランサムウェア被害からそんな短期間で安全に復旧できるはずがない。」として、一方的な再開宣言の中止を要求。再開の条件として第三者機関による客観的な安全証明書の提出を求めた。
- この要求は他の取引先からも上がり、A社は計画の白紙撤回を余儀なくされた。しかし、本格的な調査に着手しようとしたときには、既に多くの機器を復旧のために初期化してしまっており、証拠の多くが失われていた。結果、侵入経路や被害の全容を特定するだけで1ヶ月以上を費やした。さらに、調査の過程で当初の想定外の領域にも被害が及んでいることが発覚。追加対策と第三者機関による診断・証明書発行を経て、ようやくサービスの再開にこぎつけたのは発生から2ヶ月後。全社的な安全宣言に至っては3ヶ月以上を要した。
■失敗の教訓
• 【顧客心理の軽視】
• 原因:経営者が「早い復旧=顧客満足」と思い込み、顧客が求める「安全性と安心感」への
意識が欠如していた。
• 教訓:有事の際に顧客が最も恐れるのは「事業の継続性に対する不確実性」である。
目先のサービス再開を急ぐよりも、置かれている異常事態を正確に認識し、誠実な情報共有を
続けることが信頼の維持に不可欠であった。
• 【費用対効果の誤認】
• 原因:経営者が、初期調査費用を「コスト」としか見なせず、調査に踏み切れなかった
• 教訓:インシデント対応における初期調査は、被害の拡大を防ぎ、最終的な復旧コストと
事業損失を最小化するための最も重要な「投資」である。ここで正確な全容把握を行い、
その事実に基づいて対策と復旧計画を立てるべきであった。
• 【平時の信頼不足】
• 原因:日常のサービス提供レベルから、顧客に「セキュリティ的に安心できる組織だ」という
信頼を得られていなかった
• 教訓:インシデント時の対応は、平時の企業文化や信頼関係がそのまま反映される。
経営者は、セキュリティを単なるITの問題ではなく、事業継続と顧客からの信頼を支える
経営マターとして捉え、組織全体の意識とスキル向上に努めるべきである。
事例2
Web上で商品を販売するC社は、不正アクセスによって取引情報が漏洩する被害に遭った。
Webサービス上で商品を販売するC社は、繁忙期に情報漏洩インシデントに遭遇。
経営者は一度、売上への影響を恐れてサービス継続の判断を下したものの、外部専門家の助言を受けたことで、サービス停止への方針転換を決定した。この決断が功を奏し、顧客からの信頼回復に成功した。
・ 【経緯】C社は、取引情報が漏洩している可能性を外部からの指摘で認識した。発覚時期が
商品の最盛期と重なったため、経営陣は「Webサイトを止めるわけにはいかない」と判断。
原因究明を進めつつも、サービスは継続させる方針を決定した。この時点では、被害を
過小評価しており、「一部の情報が何らかの形で漏れたのだろう」という程度の認識だった。
インシデント対応担当者が依頼した外部専門家は、状況を聞いて「サービスを稼働させた
ままではリスクが高すぎる」と助言。当初より危機意識をもっていた担当者は助言内容を
経営陣に伝えるとともに、外部専門家との対話の場を設定。
• 外部専門家は「一部ではなく、全件漏洩している可能性を念頭に対応するべき」「もしサービ
スを止めずに被害が拡大し、その事実が公になった場合、顧客や取引先からの信頼失墜は避
けられない」と、C社が直面する最悪のシナリオを説明した。この指摘を受け、経営者は当初判
断の危険性を認識。「売上よりも顧客の信頼が第一だ」として、即時サービス停止と、顧客対応
を最優先する方針への大転換を決断した。方針転換後、解析と技術的な対策は外部専門家に
一任し、社内リソースのほぼすべてを顧客対応に集中させた。
• 情報漏洩の対象となった顧客一人ひとりへの誠実な説明と謝罪。
• 漏洩情報がネット上に拡散していないかを外部専門家が継続的に監視し、その状況を定期的に報告。
• 再発防止策として、単に問題箇所を修正するだけでなく、新たにWAF(Web Application Firewall)
を導入し、第三者による脆弱性診断を実施して安全性を客観的に証明。
C社はこれらの「守り」と「攻め」の対策のすべてを、包み隠さず顧客に報告し続けた。
【結果】
経営者の迅速な方針修正と、徹底した顧客優先の姿勢、そして透明性の高いコミュニケーションが功を奏し、大きなクレームや混乱は発生しなかった。
個人情報保護委員会への確報提出も、不正アクセスの場合は最大60日以内とされているが35日で完了。再開したWebサービスは以前にも増して顧客からの信頼を得て、その後の事業拡大へと繋がっていった。
■成功の教訓
・専門家の客観的な意見に耳を傾け、判断を修正する勇気
・技術対応と顧客対応の「分離と集中」
・「守りの復旧」から「攻めの信頼獲得」への発想転換
3.経営者が判断を誤る理由
インシデント発生時に判断を誤るのは、経営者個人だけの問題ではありません。経営者の判断の絶対性、経営陣内部の力関係、責任の押し付け合い、費用の捻出といった現実的な問題が噴出し、組織そのものが機能不全に陥るケースも少なくないのです。こうした事態を避けるため、平時のうちにインシデント発生時の意思決定プロセスと権限の所在(例:指揮権を一時的にCISOへ委譲する等)を明確に定めておくことが極めて重要です。また、社内にセキュリティの専門家がいない場合は、速やかに外部の知見を求められる体制を構築し、ステークホルダーとの関係も意識した判断を可能にしてください。
■平時の成功体験が通用しない現実
多くの経営者は、平時には優れた経営判断を行います。
しかしインシデント時には、専門外かつ想定外の事態に直面することで日常的な成功体験が活かせず、
視野が狭まり、判断が鈍る傾向があります。
■正常性バイアスと視野狭窄のリスク その結果、正常性バイアスにより「この対応で大丈夫だろう」と
危機を過小評価してしまうケースが見られます。これは、インシデント対応におけるリスクの全体像を
把握していないため、自分の理解範囲内でしか判断できないことが原因です。
また、インシデントに関する専門的知見が経営判断に反映される仕組みや文化が未成熟であることも、
対応の遅れや誤判断につながります。
得意先顧客や厳しい指摘を行う顧客など、一部のステークホルダーだけに対応してしまい、本来必要
な全ステークホルダーの視点を欠いた場合、適切な対策を打つことはできません。その結果、信用失墜
や復旧の遅延、さらなるコスト増加を招きます。また、メディア対応の失敗は更なる被害を生みます。
■攻撃者にとっての「価値」と信用失墜の本当のコスト
経営者は、自社が優秀であればあるほど、つまり成功していれば成功しているほど、攻撃者にとってその組織には「価値」があること、つまり攻撃を成功させるモチベーションが高いことを認識する必要があります。
目先の売上よりも信用失墜の弊害のほうが事業継続を阻害することを認識し、インシデントを「必ず起きるもの」として捉え、平時から備える姿勢が求められます。
また、信用失墜は金銭面だけではなく、不安による従業員の業務効率低下を招くほか、転職検討者の後押しとなってしまうことや、逆に採用への応募を取りやめる方が発生するなど、多くの面で不利益をもたらします。
■経営者と経営陣
平時の成功体験が通用しない緊急時において、経営者に最も求められるのは、経営陣の意見に真摯に耳を傾ける姿勢です。 そのため経営者は、日頃から経営陣との信頼関係を構築し、自らの知見が及ばない事態では専門家の意見を最大限に尊重するという原則を持つべきです。
4.インシデント対応の鉄則
経営者が求めるのは、「判断材料としての正確かつ簡潔な情報」です。しかし、インシデント直後に必要な情報が揃っていることは稀です。多くの組織では、事前準備が不十分なため、迅速かつ正確な情報収集が難しくなっています。特に中小企業では、経営層の理解不足もハードルになります。
このような状況では、「初動対応の質」が、その後に得られる情報の精度を大きく左右します。
【インシデント対応初期プロセス】
一般的なインシデント対応手順は、体制が整った大企業を前提としており、多くの中小企業の実態とはマッチしません異なります。
初動対応は「封じ込め」の完了までとされますが、ここが落とし穴です。理想は、インシデント発覚と同時にシステム全体を隔離するなどの完全な封じ込めを行うことです。しかし現実には、現場で「業務を止められない」という判断が優先され、被害が顕在化している箇所だけの不完全な対応に留まりがちです。
その結果、システム全体が本当に安全になったかをであるか確認できるのは、ずっと後になってしまいます。だからこそ、経営者は「対策したはず」で安心するのではなく、「確認し、証明できるか?」まで確認していくことが望まれます。
システム的・体制的な準備が充分でない組織では、大規模インシデント発生時の対応は下記のような流れになると思います。
インシデント発生 |
・検知 |
・簡易解析 |
・社内関係者招集 |
インシデント対応会議 |
・初動対応・非常態勢指示 |
・個人情報保護委員会速報提出 |
・状況把握 |
・外部専門家選定 |
・証拠保全と解析 |
インシデント概要レベル把握 |
・原因及び被害把握 |
・公開情報選定 |
・顧客対応 |
・メディア対応 |
・暫定対策 |
・外部からの情報漏洩調査 |
サービス再開目途がたつ |
・安全確認と再開判断 |
・封じ込め確認 |
【鉄則】
サービス再開で顧客が求めるのは『早い復旧』ではなく『安全性と安心感』
そのためには詳細な調査を行うこと解析が重要で、技術的原因とともに組織的な真因を導き出すことで顧客のけることによって安心感が増強され未来につながります。
実現のポイントを以下に記載します。
真因=経営や組織文化に起因する課題
鉄則1:初動対応の覚悟を持つ
・外部専門家への即時依頼
・数百万円規模の費用を想定
鉄則2:証拠保全なくして、復旧なし
・復旧を焦るな、まず証拠保全、次に復旧
・自社のみでの調査・解析は、隠ぺいと受け取られる可能性がある
鉄則3:ステークホルダーとの誠実な情報共有
・確定情報のみ公表
・捜査機関/監督官庁への報告
鉄則4:「守り」から「攻めの信頼獲得」へ
・技術対応は外部専門家中心へ、社内リソースはステークホルダー対応に集中
・真因の説明と再発防止策の実施を約束
【初動に関わる問題点】
インシデント発生時は、まず直接的な原因(侵入経路など)を特定し、それに対する暫定対策を行います。同時に、なぜそれを許してしまったのかという真因を掘り下げ、恒久的な強化策へとつなげることが基本です。
外部専門家のような詳細な調査を自前で行える組織はほとんどありません。時間的制約もあるため、外部専門家に頼む事が必要になります。外部専門家が対象のPCやサーバを解析するためには、事前に証拠(データ)の保全が必要です。容量の大きいストレージを使用している場合など、保全だけで数日要することもあります。解析には2週間〜1か月程度かかることが一般的であり、結果が出るまでの時間的猶予を見込んでおく必要があります。
証拠保全が完了していれば、機器を初期化し、システムを再構築して復旧することは問題ありません。しかし、保全前に復旧を急ぐと、重要な証拠が失われ、解析が不可能になります。その結果、侵入経路や影響範囲を特定できず、インシデントの終息も見通せなくなります。
また、自社で独自に行った調査・解析のみを根拠に被害規模などを確定させる行為は、隠ぺいを疑われることが多いので避けるべきものです。つまり、外部専門家が必要ですので、突発的に高額な費用が発生する可能性があるという認識をあらかじめ持っておくべきです。
【外部専門家への費用感】
インシデント対応にかかる費用は、日本ネットワークセキュリティ協会の「サイバー攻撃を受けるとお金がかかる(2024年7月18日)」でも公表されていますが、調査費用が300万円~400万円となっています。実際に情報漏洩の場合はそのような費用が多いですが、規模の大きいインシデントですと更に膨らみます。ランサムウェア被害など多数の端末が関わるインシデントの場合は1,000万円を超える場合もあります。必要な費用を捻出できない場合、大規模インシデントにおいては、本格的な解決は現実的に難しいと考えるべきです。
また費用面が問題の場合、特に中小企業であれば自治体の補助金やIPAの無料支援などもありますので、事前に条件を確認し、必要があれば申請方法なども把握しておきましょう。参考までに情報処理推進機構(IPA)の中小企業支援を紹介します。
なお、これらの調査費用や事業停止による損害は、サイバー保険の補償の対象となる場合があります。
【外部専門家を探す】
外部専門家の探し方としては、SIerや知人への相談、ネット検索などが一般的です。
ただし、ネットの検索結果の上位に表示される業者が必ずしも信頼できるとは限りません。SEO対策による順位操作もあるため、選定には注意が必要です。費用は数百万円規模になりますので信頼できる業者を経営陣(できれば経営者も同席)が面談して決定してください。
これによって経営者の意図も外部専門家に伝わり、また直接コミュニケーションを行うことによって、時間的ロスの少ない対応が可能となります。
取引先や監査法人などのステークホルダーが、採用した外部専門家の妥当性を確認する場合もあります。参考までにこれら外部専門家などが掲載されたサイトの一部を紹介します。
・独立行政法人 情報処理推進機構(IPA)
・特定非営利活動法人 デジタル・フォレンジック研究会
【調査結果を受けた対策と真因の追及】
ステークホルダーに対しては、単なる技術的対策の羅列だけでは安心感を与えられません。「脆弱性を修正した」「設定を変更した」といった表面的な対応ではなく、背景にある組織的・経営的課題(真因)まで踏み込んだ説明が必要です。なぜその問題が起きたのか、再発防止のために組織として何を変えるのか——つまり「真因への対策」が不可欠です。
それは技術的なものではなく、問題は必ず「経営の本質」に行きつくととらえましょう。この真因への対策の説明が安心への切り札となります。その意味ではそれを導き出す全容の解明は非常に重要な意味をもちます。
【インシデント対応時に関係が発生する機関】
インシデント発生時には、新たなステークホルダーが登場することもあります。
捜査機関:
捜査機関への相談(被害申告)は、他ステークホルダーからの信頼を得るために必要です。特にメディアを含む他ステークホルダーから被害状況などの情報提供を強く求められても、捜査協力中である旨の回答をすることができます。
情報漏洩などのインシデントでは捜査機関への相談は重要ですし、場合によっては外部専門家と連携して対応する場合もあります。例として、外部専門家が解析用に保全したデータを捜査機関に提供することによって、対象機器が長期間手元を離れることや、二度手間を回避することができます。
(参考)
直接捜査機関へ連絡する場合は、以下のようにインターネット経由でも相談可能です。
その他:警察庁サイバー事案に関する通報等のオンライン受付窓口
個人情報保護委員会:
最初の速報(被害の発覚後3~5日)と、最後の確報(不正アクセスの場合60日以内)が必要です。確報では外部専門家の調査報告書も求められることが多いことも外部委託が必要な理由です。( 引用元:個人情報保護委員会)
更に情報漏洩の可能性があれば、対象の個人への連絡を検討することが強く推奨されます。Web上の告知だけでは、本人の権利利益を保護する上で不十分と判断される場合があるためです。事前に個人情報保護委員会のサイトで報告内容や義務は把握しておいてください。
5.インシデント対応の理想と現実
(1)インシデント対応会議
理想は、事前に各種セキュリティ対策やCSIRT等の組織的対策、各種文書が整備されており、経営者の各種判断に必要な情報が揃っていること。
判断項目 | 理想(〇) | 次善手(△) | 悪手(×) |
初動対応指示 | NW遮断含み手順通りNW遮断・データ保全済み | 社内各所へ調査指示 | 責任追及・復旧のみ指示 |
個人情報保護委員会へ速報提出 | 項目を事前把握しており速やかに記載・提出 | ホームページをみて勉強して試行錯誤で提出 | 提出が義務ということに気が付いていない |
状況把握 | 大枠解析・顧客情報整理・広報準備 | 漏洩前提で推進・NW遮断 | 被害確定まで被害システムも平常運転 |
外部専門家選定 | 経営陣(できれば経営者も同席)が面談して経営者が判断 | 費用と実施内容を確認して判断 | 費用の金額だけ見て必要な調査を見送る |
証拠保全と解析 | 外部専門家と協議して対象決定と実施 | 現象から推測で対象を決めて実施 | 後回しで復旧のみ実施 |
(2)インシデント概要と被害レベル把握
理想は、原因および被害状況が把握できた時点で封じ込めもでき、これ以上の被害拡大がないと確認できること。
判断項目 | 理想(〇) | 次善手(△) | 悪手(×) |
真因特定・安全領域設定 | 外部専門家に確認しながら整理・対応 | 関係機器初期化・復旧優先 | |
公開情報選定 | 事実のみ簡潔に記載・個別通知 | 外部専門家に確認しながら状況変化に応じて更新 | 確定していない情報を記載・担当者名義 |
メディア及び顧客対応 | Q&A作成・窓口一本化 特別対応を準備 | 窓口のみ一本化 | 各部署や担当者での現場まかせ対応 |
暫定対策 | 外部専門家と相談・原因と真因に基づく再発防止策 | 外部専門家と相談し原因に対する再発防止策 | 想像で対策・対策内容は技術変更のみ |
外部情報漏洩調査 | 外部専門家を利用し漏洩譲歩の拡散調査推進 | 顧客の反応をみながらの委託判断 | 調査せず |
(3)サービス再開目途把握
理想は、第三者の安全確認まで含めていれたスケジュールで提示すること
判断項目 | 理想(〇) | 次善手(△) | 悪手(×) |
安全確認と再開判断 | 真因に基づく強化対策・安全性確認を、盛り込んだ対策提示と封じ込め確認 | 同じ事象の再発防止の対策を提示し、封じこめ確認 | 可用性のみ提示 |
ステークホルダーは、この再開判断が適切かの判断をします。顧客側の担当者が判断するものではなく、その企業やさらにその先のステークホルダーが判断します。
■理想に近づけるための事前対策ポイント例
項目 | 内容 |
事前準備 | 各種ガイドライン参考に自組織に合う形で体制、設備と運用対応 |
初動対応 | 保全優先の手順整備、外部専門家との連携体制 |
費用確保 | サイバー保険加入、緊急予算の確保(数百万円規模) |
情報公開体制 | 個人情報保護委員会への報告準備、発表文書テンプレート |
顧客対応 | Q&A事前作成、営業・広報連携体制の整備 |
外部専門家選定 | 信頼できる外部専門家の事前収集と面談体制 |
6.付録 初動対応チェックリスト
これらをキーワードにインシデントに立ち向かってください。
(1) 初動:保全と外部専門家への連絡
* 責任追及より、状況把握を優先する
* 自己判断による機器の初期化は厳禁とする (保全なくして復旧なし)
* 信頼できる外部専門家と至急連絡をとる
(2) 経営判断:覚悟と決断
* 数百万単位の調査費用がかかることを覚悟する
* 経営陣(できれば経営者も同席)が外部専門家と直接面談し、経営者が依頼先を決定する
* 「早い復旧」より「安全性と安心感」を優先する方針を決定する
(3) ステークホルダー対応:透明性と誠実さ
* 確定した事実のみを、誠実に、速やかに公表する
* 捜査機関、個人情報保護委員会へ速やかに相談・報告を行う
* 問い合わせ窓口を一本化し、現場の混乱を防ぐ
7.あとがき
経営陣・担当者の方へ
経営者は有事の際に孤独です。その判断が未来を大きく左右するプレッシャーの中で、時に視野が狭まることもあります。だからこそ、皆様の存在が不可欠なのです。
この資料をそのときの武器としてください。特に事例2のように、客観的なデータや外部専門家の意見を経営判断の場に届けることが、皆様の重要な役割となります。
経営者の方へ
有事の際に耳の痛い進言をしてくれる担当者は、会社の未来を思う、最も信頼すべき勇気ある方です。ぜひ彼ら・彼女らの意見に耳を傾けてあげてください。
本篇は初動対応編です。
これら以外にも、メディア対応や詳細な情報提供、賠償問題等の各種ステークホルダー対応や、暫定及び恒久対策などについても様々な想定外が発生しますが、これはまた別の機会にご紹介していきます。
関連サービス
デジタルフォレンジックサービス
危機管理コンサルティング
脆弱性診断
ぺネトレーションテスト
クライアントログ解析
情報漏洩調査サービス
