すべての事業者が、自身あるいはグループ会社がサイバー攻撃のターゲットになり得ることを認識し、準備しておくべき時代が到来しつつある今──。前後編の後編では、サイバー攻撃を実際に受けたときの基本的な対応と共に、サイバー攻撃に備えるための体制構築のポイントなどについて、中崎尚弁護士が解説する。

サイバー攻撃に備えるための体制構築がより重要になる（写真／Shutterstock）

［画像のクリックで拡大表示］

Q6　サイバー攻撃の被害者になってしまった場合はどう対応すればよいでしょうか。

A6　被害の種類や程度、影響を受けた情報の種類や規模などによって異なる部分もありますが、サイバー攻撃を受けた場合の基本的な対応は、以下のように整理することができます。多くの場面で同時並行の形で進めることが必要です。

（1）サイバー攻撃を受けた痕跡の発見・対応責任者への通報
　サイバー攻撃を受けた痕跡が発見される経緯は、社内の監視網による発見だけでなく、社外からの指摘を契機として発見される場合、定期的なメンテナンスで偶然に発見される場合など、様々なルートが想定されます。重要なのは、事態に最初に気がついた部署で抱え込まずに、一刻も早くサイバー攻撃の対応責任者に一報を入れることです。

　そのためには、平時より、対応責任者を決定し、社内で連絡先とともに即時の通報が必要であることを周知しておくことが必要です。特にサイバー攻撃を受けた結果、個人情報の漏洩などが発生している恐れがある場合については、2022年4月1日から施行される改正個人情報保護法下において、社内の誰かが個人情報の漏洩などを発見した時点を起算点として、おおむね3～5日以内に、個人情報保護委員会へ第一報（「速報」といいます）を報告することが求められています。このため、対応責任者にいかに早く情報を集められるかが重要になっています。

対応する組織が必要になる

（2）対応組織の立ち上げ
　サイバー攻撃への対応は社内の様々な部門で応答する必要がある一方で、情報を集約し、大きな方針を決め、全体のスケジュールを管理する必要があるため、司令塔として機能する対応組織を立ち上げるのが一般的です。外部の専門家にメンバーとして入ってもらうことも少なくありません。その際、ゼロからメンバー集めをしていては間に合わないので、事前に当たりをつけておくことが必要です。あるいは、平時から全社横断的なセキュリティー対応組織を立ち上げておく場合もあります。

（3）初期的な被害状況の確認と技術的な応急措置
　サイバー攻撃の通報を受けて、まず初期的な被害状況の確認と技術的な応急措置を実施します。技術的な応急措置として、問題の端末を社内ネットワークから即時に切り離すことの重要性は言うまでもありませんが、それと並ぶ程度に重要なのが、電源を落としたり、復旧ソフトを用いてデータの回復をしようとしたりといった、素人判断による対応を行わないことです。慌てて動いた結果、ログが消えてしまい、後々の原因解析や攻撃ルートの確認、被害範囲の正確な確認ができなくなることは珍しくありません。「証拠保全」という考え方に立った行動が必要です。

（4）社内周知と担当部署への連絡
　（3）で概要が把握できたら、次のステップとしては、社内外への影響を確認し、二次被害の拡大を防止する観点から、社内への周知を早急に行うとともに、各ステップで役割を割り振られている各担当部署への連絡を行うことになります。

（5）原因調査・被害範囲の特定
　社内のIT部門だけでは調査能力に限界があることから、フォレンジック（鑑識）の専門家に依頼するのが一般的です。サイバー攻撃を受けたシステムの規模によっては、原因および被害範囲の特定まで数週間かかることもあり、他のステップと並行して進めることになることが多いです。