サイバー攻撃被害の範囲を特定できるか--証拠保全の重要性（前編）

　日々巧妙化するサイバー攻撃を確実に防ぐことは困難であり、規模や業種を問わず企業が直面する課題となっている。実際に標的型攻撃によって個人情報が漏えいしてしまったなどの被害を受けた場合は、被害範囲を特定し、逸早く影響を封じ込めるとともに、ステークホルダーに対して説明することが企業に求められる。

　今回は、インシデントが発生した際に、被害範囲や原因究明に効果的なデジタル・フォレンジックの解説と、インシデントが発生することを前提とした事前対策の重要性について解説する。

　なお、本稿は私見であり、所属組織などの公式見解ではない。

高度化するサイバー攻撃とセキュリティ対策のギャップ

増加するサイバーセキュリティリスクと企業における課題

　企業を標的としたサイバー攻撃の増加に伴い、規模や業態に関係なくサイバー攻撃の対象となるリスクが高まっている。そのような背景から、サイバーセキュリティリスクを事業継続の課題と位置付け、対応強化に積極的に取り組んでいる企業も多い。

　一方で、各社が直面しているセキュリティ上の課題も浮き彫りになってきている。一定水準のセキュリティ対策済みの企業でさえ、サイバーセキュリティインシデントの被害にあうことが珍しくない。さらに、サイバー攻撃の巧妙化から発見が遅れ、インシデントが発生してから認識するまでの期間が長期化することもある。

　サイバー攻撃によって個人情報が漏えいした場合、原因や影響範囲を特定するための調査には、多くの時間とコストが必要になる。具体的にどの情報が何件漏えいしたのか詳細がわからないケースもあるが、それは事件発生時の「インシデント調査」を前提とした対策ができていないことが一因として挙げられるだろう。

　以降、インシデント調査の作業のひとつである、デジタル・フォレンジックについて説明し、調査において有効と考えられる対策について解説する。

デジタル・フォレンジックを活用した調査

　インシデント発生時には、被害の状況を迅速かつ正確に把握するための調査、被害軽減措置、対外的な報告や再発防止策の立案という流れで対応を進めていく。特に対外報告や再発防止策を行うためには、インシデントの原因、影響範囲を正確に把握することが不可欠である。