大手旅行予約サイトに対して、2021年3月にオランダのデータ保護監督当局APが475,000ユーロ(およそ6,000万円相当)の制裁を科した。*1 GDPR(EU一般データ保護規則)が求める期間内に、データ侵害に遭ったことを報告しなかったためである。
前回のニュースレター*2 では、データ侵害発生時に監督当局に対して72時間以内の報告がGDPRで求められているということ、そして、通知の際のポイントや通知に伴うリスク評価の必要性について述べたが、その要求に応じることができず制裁を科された事例だ。
同社では2018年に4109人もの顧客の情報を漏洩させたデータ侵害が発生している。ところが、監督当局への報告はデータ侵害が発覚してから「22日後」に行われたため、今回の制裁が科されることとなった。また、影響を受ける顧客に対してのデータ侵害の通知や補償の提案を開始したのは、その僅か3日ほど前からであった。
今回監督当局より公表されたプレスリリースには、「適切な予防策を講じていたとしても、残念ながらデータ漏えいはどこでも発生する可能性がある。しかし、顧客への損害や再発を防ぐために、時間内に報告する必要がある。」とするコメントも記されている。迅速な対応が求められているのだ。
しかし、同社では社内で望むほど迅速に問題をエスカレーション出来なかったことが根本原因の一つであると捉えている。前回*2 ブリティッシュエアウェイズが制裁金額を大幅に減額された事例を紹介したが、日頃からの行動計画やトレーニングなどの備えが迅速な対応には不可欠なものであるという好例だろう。
本稿執筆時点では、米バイデン政権でも緊急で進めている大統領命令において、連邦政府と取引しているベンダーでセキュリティ侵害が発生した際には数日以内に報告する必要があるとする要件を盛り込むものと思われている。
その際には、より多くのデジタル記録を保存し、FBIおよびCISA(国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁)と協力していかなくてはならない。
また、この大統領命令では、特定のソフトウェア標準を満たすことや、データ暗号化、多要素認証などの義務化によって、基本的なセキュリティの改善を目指していく。
米バイデン政権が緊急で進めている大統領命令は、2020年末に発覚したSolarWinds社へのセキュリティ侵害をきっかけに、国家のサイバーセキュリティを根本的に改善することを目指している。
SolarWinds社へのセキュリティ侵害とは、米国政府機関などのソフトウェアベンダーである同社でセキュリティ侵害が発生したことによって、少なくとも9つの政府機関と100の米国企業が侵害されたとされている事件のことだ。
このセキュリティ侵害では、トランプ政権での国土安全保障省高官の電子メールアカウントにも不正にアクセスされていたことが発覚しており、SolarWinds社への攻撃とMicrosoft Exchangeの電子メールプログラムに影響を与える脆弱性によって、さらに広範囲に被害が及んでいることが懸念されている。
実際、連邦航空局では時代遅れの技術によって対応が妨げられ、SolarWinds社のソフトウェアを実行しているサーバの数を特定するだけでも数週間を要したということも発生している。検出されていない侵害が存在する可能性を恐れて、米連邦政府は2021年3月にMicrosoft ExchangeのサーバをスキャンしてCISAに報告することをベンダーに命じた。*3
不正侵入の痕跡を特定するための2つのツール*4 *5 を用いたスキャンには数時間を要し、サーバのリソースが不足する可能性もあるため、オフピーク時に実行することを推奨しているが、最初のスキャンから4週間は毎週スキャンすることが求められており、侵害を示す結果があればCISAに報告する必要があるとされている。
ちなみに、過去にも連邦議会ではデータ侵害を報告するための法を確立しようとする動きはあった。しかし、その度に業界からの抵抗で成立することはなかった。ところが今回は、甚大な規模と範囲に影響を及ぼすセキュリティ侵害が発生したため、これを機にドラスティックに進めていこうという機運がある。
SolarWinds社へのセキュリティ侵害を機に、米連邦政府ではサプライチェーンからもたらされる脅威に注意を向けている。これまでもNotPetyaランサムウェアによる攻撃などでもサプライチェーンは狙われてきており、目新しいものではないことをここでは付け加えておく。
2021年4月にはNCSC(米国家防諜安全保障センター)より、サプライチェーンの脅威と軽減策の認識を高めるための行動を促す文書*6 が公表された。
国外の敵対者がスパイ活動、情報の窃取、妨害行為における攻撃ベクトルとして、企業や信頼できるサプライヤーを利用することが益々増えていること。そして、米国政府と産業を支える製品とサービスが危険に晒され、知的財産、仕事、経済的優位性を失い、軍事力を低下させていることに触れている。
また、ここではソフトウェア・サプライチェーンの脅威となったSolarWinds社へのセキュリティ侵害にも触れ、国家の原動力となるサプライチェーンの回復力・多様性・セキュリティを強化する必要性について言及している。
前述の大統領令においてもソフトウェア・サプライチェーンの脅威に注意を向けており、政府全体で使用されているすべてのプログラムに「ソフトウェア部品表」を要求している。オープンソースやパートナーによる部分を含むすべてのソースコードが対象とされており、使用するソフトウェアが増えることで潜在的に高まる脆弱性のリスクに備えようというものである。
もはや単一の企業や組織の努力だけで、サイバー攻撃は防ぐことができないのだ。
最後に、前述のNCSCによる文書*6 からサプライチェーンリスクを管理していくための基本について紹介しておこう。
まず、サプライチェーンのもたらす脅威に対して、特効薬としての唯一の解決策は存在しない。その上で、組織がサプライチェーンの回復力を強化するために少なくとも以下に掲げる5つの基本原則を検討することをNCSCでは奨励している。
日本企業でも重要インフラ事業者だけでなく自動車産業などでも系列ごとにこのような取り組みを実践されている場合もあり、多くの場面で既に定着しつつある。
とは言え、実際の現場では三つ目の項目で言及されている重要な資産の特定と優先順位を設けた保護において未だ不十分な場面も多々見受けられ、リスク管理の精度を高め続けていく必要がある。
また、これまでも各所で述べられてきたようにファイアウォールの使用、特権アクセスを最小にすること、マルウェアからの保護、タイムリーなソフトウェア更新などの実施についても前述の大統領令では推奨されている。
セキュリティ対策に特効薬は存在せず、基本的な対策・対応を日々積み重ねていくことが重要である。
*1 https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-bookingcom-voor-te-laat-melden-datalek
*2 https://www.willistowerswatson.com/ja-JP/Insights/2021/03/crb-nl-march-adachi
*3 https://cyber.dhs.gov/ed/21-02/#supplemental-direction
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。