サイバー犯罪の「被害者が告発」される今、企業は報告義務にどう向き合うか

被害に関して必要十分な情報を開示する上では、事故の全体像を明らかにする方法としてフォレンジック調査がある。フォレンジック調査は、事件発生時の警察による初動捜査や鑑識のように、さまざまなデータを解析し被害状況の記録や証拠を明らかにするものだ。

企業からの被害報告のプレスリリースをみても「専門家による調査の結果、原因はこれでこのような不正行為が行われていた」といった説明を見ることが増えてきた。フォレンジック調査で事実が明らかにできるということは、サイバー犯罪が行われていた証拠が残っているということを意味している。つまり、その証拠は同時に被害を防ぐために活用できるはずの有益な情報とも言えるのだ。

ただし、事後の報告義務を果たす上では確かに有益な方法と言えるものの、その費用を捻出できるのであれば、そのデータをリアルタイムで分析して被害を最小化させ、理想的には未遂にするための取り組みに企業は投資をするべきだろう。その代表例がExtended Detection and Response（XDR）というアプローチだ。ITインフラ全体からユーザーや端末、通信などさまざまなデータを集約して、AIを活用して不正な活動を特定するというものだ。

事故に関連した不正な活動のデータが集約されていることから、XDRを活用することで同時に被害をすみやかに特定でき、結果としていち早く報告をすることも可能になってくる。即時性と必要十分な情報で報告義務を果たすことに貢献できるツールといえる。

告発や制裁対象となった事案にある2つの注意点

事故に関する情報をさまざまな情報源から集約して分析したり、社内外のステークホルダーとの情報共有・連携を司る部署や人員を整備するなど、他にもできることは数多くある。もとより、自社を取り巻くリスク環境を踏まえ、事故を防ぐために実施している対策を合理的に説明できるようになることこそが本質的な解決策だろう。対策を怠っていれば論外だが、対策していても「なぜこの対策なのか」「何を目的にした対策なのか」これらが明文化できなければ、報告義務を必要とする有事の際に有利に働くことは決してないだろう。