ブログ(トレンド&インサイト)

企業の法務責任者が起こり得るサイバー・セキュリティ侵害に正しく備えるために必要なこととは?

企業/組織において法務やリスク管理の責任者であれば、日々数えきれないほどの法的要件に絡むビジネス課題に対処していることと思いますが、サイバー攻撃に対処することに比べれば、それほどの悲惨さはないかもしれません。サイバー・セキュリティにおいては、侵害が発生する前ですら、いつ攻撃されるかわからないというストレスがあります。特に、攻撃に対する絶対に確実な防止策など存在しない中では、標的にされる可能性はどの組織にもあると言えます。実際、FireEyeの最新のM-Trends 2019レポートでは、昨年、ほぼすべての産業やマーケットの企業が侵害を経験したことが報告されています。

こうした状況化で、法務およびリスク管理の責任者の立場では、適切なインシデントレスポンス(IR)計画の策定に注力する前に、侵害が発生したときには何が問題になるのかを十分に理解しておくことが必要です。今日の攻撃者は、これまで以上に洗練された手法でネットワークに侵入するばかりでなく、侵入後に発見されないための技術はますます高度になり、いったん企業ネットワーク内に侵入されると、それを発見することはこれまで以上に難しくなりました。M-Trends 2019によると、セキュリティ侵害の発生から検知までに要した日数が、2018年では78日と報告されていますが、これは、知的財産、個人識別情報、営業機密などの機密データを取得するのに十分過ぎるほどの時間です。

法務/リスク管理責任者が考慮しなければならない侵害にまつわる別の側面は、コストです。2018年半ばに報告された研究によると、データ侵害が起きた場合の世界的な平均コストは386万ドルに上ります。ほかにも、企業のブランドや評判へのダメージ、顧客と株主の信頼の喪失、加えて、その後の訴訟と調停に関係する時間、ビジネスの中断、そのコストといった、実体の見えないものを考慮する必要もあります。それ以外にも同様に考慮が必要なコストとしては、規制に対する罰金、ITセキュリティを改善するためのコスト、監査要件、およびスタッフの生産性への影響などが挙げられます。

これらの課題に対して、組織の法務/リスク管理責任者が単独で対処することはできないでしょうし、また、そうすべきではありません。つまり、サイバー・セキュリティはチームスポーツであると言えます。強力なIR計画を策定および実行するには、法務/リスク管理の責任者と情報セキュリティ最高責任者(CISO)の協力はもちろん、金融やマーケティングなどの社内グループ間の連携が必要です。また、経営幹部と取締役会の両方が関与し、社外の専門家も交えたチームでの対処が重要です。

サイバー・リスクをめぐるこの新しい世界で、法務/リスク管理責任者が直面する最も重大な問題は、いかに全般的な準備を行い、危機への対応方法を整備するかです。以下に、サイバー・インシデントの発生に備えるために組織が行うべきことを確認するための重要なステップをまとめます。

組織横断的な相互連携:企業/組織内全体でそれぞれのリーダーとの関係を構築しておくことが重要です。特に、CISOとのパートナーシップは、企業/組織が保有しているデータのことを知るために重要です。たとえば、重要なものは何か、どのように保護されているか、どこに保管されてどこからアクセスできるか、セキュリティチームがIT資産にどの程度の可視性を持っているか、などです。CISOと協力して、標的にされる可能性が最も高いのはどのような資産やデータなのか、また、目的は何か(例えば、金銭の獲得、企業の機密窃取、インサイダー取引など)を判別します。サイバー・セキュリティは、もはやCISOが独自に管理する問題ではなくなりました。CISOと法務/リスク管理責任者との強力なパートナーシップは、今日のサイバー・セキュリティの動向を考えた場合、不可欠であると言えます。

侵害対応計画の策定:IR計画を策定し、その計画の実行に必要なチームを特定します。IR対応チームには、CEO、CISO、CMO、社内/社外の弁護士、コミュニケーション専門家(PR、投資家向け広報など)、社外のインシデント対応担当者/フォレンジック専門家が含まれていることが望ましいでしょう。

中核のチーム・メンバーを特定したら、侵害が発生した場合にグループが迅速に行動できるように、メンバーを一緒に配置します。侵害の詳細(侵害がどのように発生したか、実際に盗まれたのは何か、他のどの資産が侵害されたか、サイバー・セキュリティ対策を強化するために行えることなど)をできるだけ迅速に判断するために、フォレンジック・プロバイダーを配備しておくことは非常に有益です。事前に準備されればされるほど、危機の発生時にチームが迅速に行動できるようになります。

計画においてもう一つの重要な部分は、機密情報やデータにアクセスできるベンダーとの契約関係を調べて、どのようなサイバー・セキュリティ対策や侵害時の手順が整っているかを理解することです。今後の実践準備として、新しい契約関係を結ぶ前に、CISOのチームと協力して、ベンダー候補のセキュリティ・レビューを実施することが肝要です。これには、訴訟、M&A活動、特許出願、人事問題に関連するコミュニケーションやドラフトなど、企業の最も機密性の高いデータや文書の一部を保有している外部の法律事務所も含まれます。組織のデータが保護されていることを確認し、ベンダーが漏洩または侵害を受けた場合に適用されるリスク配分規定を含めるには、標準的なデータ・プライバシーとセキュリティの補遺を作成し、ベンダー契約に添付すべきです。

また、機密データが侵害された可能性がある場合に、組織が顧客に知らせるべき侵害通知要件、およびその他の対応すべき義務にも注意が必要です。

訓練と実行:策定されたIR計画をテストします。机上危機演習を実施し、社内の対応チーム・メンバーと社外の専門家を事前に選定し、いつでも対応可能な「待機状態」であることを確認します。今日のモバイル環境やソーシャル・ネットワーク全盛の時代において、特に、GDPRの72時間以内に通知しなければならないという短時間での対応が必要とされる規制の下では、危機対応をタイムリーに管理、実行することが重要です。訓練を行う際には、あらかじめCMOやCEOとともにコミュニケーションの取り組みを計画し、さまざまな対応を実施しましょう。訓練を行った後には必ず振り返りを行うことが重要です。プロセス全体に調整を施し、改善すべき点が必ずあることに留意してください。弱点を特定したり、質問をしたりせずに訓練のためのプロジェクトチームが解散しようとしたら、計画自体に不足がある可能性があると認識すべきです。

保護:法務/リスク管理責任者が中心となってコミュニケーションとインシデントレスポンスを調整することで、侵害の直前(できれば)少なくとも直後に、弁護士と依頼者間の秘匿特権を確立し、保護しましょう。訴訟、調査、政府の問い合わせはたいてい侵害の後に発生することになります。社外の弁護士、IRコンサルタント、その他の関係者との間で事前に3者間MSAを設けることは非常に価値があります。

関与:CISOからの定期的な更新を取締役会(または取締役会の委員会)に提供する必要があります。サイバー・セキュリティに関する信認業務は、取締役会による認知、トレーニング、関与が必要であり、さらに、ビジネスにおける判断を行う上でのルールと同等の「妥当性」基準を満たす必要があります。これには、企業が一般に使用されるユーザーIDやパスワードの手法を採用することや、サードパーティにペネトレーション・テスト・サービスを実行させること、既知のセキュリティの脆弱性を修復することが含まれます。

考察:サイバー保険を考えましょう。特に、企業の全体的な保険プログラム戦略という観点で考えることが重要です。侵害のコストを知り、企業が損害を受けるリスクを評価することは、サイバー保険を使用する上での正当な理由になります。サイバー保険リスク評価サービスは、テクノロジー、プロセス、および人に基づいて、組織のリスク・レベルを迅速かつ高水準で分析し、保険引受のためのサイバー・リスクの特定と分類を容易にします。

FireEyeは過去数年にわたって、サイバー・セキュリティが、バックオフィスのIT課題から注目度の高い取締役会レベルの問題へと移行していくのを、目の当たりにしてきました。ほとんどの企業にとって、侵害は、「起きるかどうか」ではなく、「いつ起きるか」の問題です。企業/組織の法務およびリスク管理責任者は、侵害に備えてこれらの対策を講じることで、不可避な事態への対策の準備と緩和に役立つ、確実な出発点を持つことができます。

本ブログは、米FireEyeが公開した「What General Counsel Need to Do to Prepare for a Cyber Breach」(英語)の日本語抄訳版です。

日本語版:Reviewed by Saeko Hashimura