サイバーリスク：なぜサイバーリスクを過小評価してはならないのか？

サイバーセキュリティに取り組んでいるという虚偽の報告

非営利団体にデータ管理ソフトウェアを提供する米サウスカロライナ州のソフトウェア会社で2020年に発生したインシデントに関して、カリフォルニア州の裁判所は675万ドル（およそ10億円）の罰金を伴う和解を今年6月に発表した。^[1] なぜ罰金を課されてしまったのだろうか？

このインシデントでは13,000人以上の顧客データが盗まれていたが、同社はハッカーが個人データにはアクセスしていないという「虚偽」の公表を行なっていた。このことがデータセキュリティ法、不正競争防止法、虚偽の広告に関連する法規制に違反していることから多額の罰金を課されることとなった。

更に、カリフォルニア州の司法当局による調査によって、同社のセキュリティ対策が不十分であったことも判明している。公表された訴状と判決によると、既知の脆弱性に対応がされていなかったことや、MFA（多要素認証）が実装されていなかったこと、個人情報を保管するシステムでの不審な動きをモニタリングしていなかったことなどが、司法当局の調査によって明かされている。^{[2] [3]}

そして、これらの策が講じられていれば、被害を軽減できた可能性があるとも訴状には記されている。既にサイバーセキュリティに取り組まれている立場からすれば、これらがごく基本的なことであることはご理解いただけることだろう。

ところが、このソフトウェア会社ではこれらをやっていないにも関わらず、サイバーセキュリティが万全であり、個人データも侵害されていないという虚偽の説明を行なってきたことで、今回の罰金を課されることとなった。

サプライチェーンリスク

同じく2020年に、米テキサス州のソフトウェア会社で発生したインシデントも度々話題となっているため、ご存知の方も多いだろう。このソフトウェア会社は最大の顧客が米国防総省であり、FBIやエネルギー省といった９つの政府機関が利用しているソフトウェアを開発していたため、多くの政府機関が影響を受けた。

国防総省を直接狙わなくてもサプライチェーンを狙えばサイバー攻撃を成功させることができるということで、サプライチェーンリスクに関するケーススタディでも度々取り上げられている事例だ。ロシアの諜報機関が成功させたサイバー攻撃としても有名な事例の一つである。

このインシデントでは、同社の提供するソフトウェアを経由して９ヶ月間もの間、政府機関への不正侵入が繰り返されていた。米会計監査院の公表した報告書によると、不正侵入が発覚する1年以上前から既に潜伏されていたことも分かる。^[4]

ちなみに、2022年2月24日にロシアによるウクライナ侵攻が始まった日にも、いくつものサイバー攻撃がウクライナや周辺国で発生したが、これらも半年から一年以上前に仕込まれていた攻撃だったことがその後の調査で判明している。

そして昨年末、同社に対して米証券取引委員会が「会社」と、その役員である「最高情報セキュリティ責任者」を“内部統制の不履行”と“詐欺”で訴追した。^[5]

この“内部統制の不履行”というのは直感的にも理解し易いことと思うが、もう片方に違和感を感じられた方もおられるのではないだろうか。なぜ会社と役員が詐欺であるとして訴えられたのか？

投資家を騙す行為

サイバー攻撃の被害に遭った会社と役員が、なぜ詐欺として訴えられたのか。

同社やその役員がサイバーリスクや脆弱性を過小評価したり、開示しなかったりしたことは、投資家を誤った方向に導く行為として捉えられたからだ。

意図的か否かによらず、サイバーリスクを過小評価したことで経営層がその責任を問われるようになってきた。

また、サイバー・リスクは取締役会が監督責任を負わなくてはならないという昨今の風潮から、英国では今年1月に改定された上場企業の行動規範であるコーポレート・ガバナンス・コードに、取締役会がリスク管理と内部統制の枠組みを確立・維持する責任があると明記されている。

実際、米国でのこのケースでも同社の取締役会メンバーがセキュリティ対策の監督責任を怠ったことで、取締役会メンバーがサイバーリスクに関する十分な情報を得ておらず、適切な対策を講じなかったとして取締役会メンバーに損害賠償を求める株主代表訴訟も起きている。この株主代表訴訟でも同様に、取締役会がサイバーリスクを適切に評価し、必要な対策を講じる義務があるとして取締役会による監督責任を追求しているというわけだ。

他にも、同社の行為によって投資家が誤った方向に誘導され、同社の株価が大幅に下落したことで損害を被ったとして、同社やCEO、CFOに対して投資家からの集団訴訟も起こされているし、顧客からの集団訴訟も起こされている。顧客からの集団訴訟については、同社が適切なセキュリティ対策を講じていなかったため顧客のデータが流出し損害が発生したと主張しているが、サイバー攻撃への対応費用、データ流出による損害、プライバシー侵害などに対する損害賠償といった、インシデント発生後の対応や補償なども重要な課題となっている。

今さら否定のしようも無い

これら2つのケースで見てきたようにインシデントから法的問題に直面し、経営層個人がその責任を問われるケースにまで発展しているのが、昨今の目立った傾向の一つでもある。そのため、サイバーリスクを平時から経営上の戦略的課題と捉え、経営層全体で対応していく必要がある。このことは既に多くの場所で述べられてきたことであるため、今さら否定のしようも無い。

そして、サイバー攻撃が発生した際には、被害の最小化と早期復旧に注力していかなくてはならないということを再認識せざるを得ないだろう。

GDPR（EU一般データ保護規則）などの法規制においても、インシデントが起こらないようにしなさいとは言っていない。インシデントが発生した際に迅速な対応をとることで、被害の最小化に努めなさいとしている。それが出来なければ、制裁を課されるケースもあるのだ。

では具体的にどうするのか？

インシデントが発生した際には様々なステークホルダーとの適切なコミュニケーションを取る必要があるため、情報共有すべき人物の特定が平時に取り組まれることの一つとしてあげられる。当然、その中にはサイバーに強い法律事務所なども含まれてくるかと思うが、もしご自身がCISOなどの経営層の一員であれば、ご自身への代表権有無の確認や、秘匿特権に関する理解なども平時のうちに確認しておかれると良いだろう。

そして何よりもサイバーリスクを過小評価し過ぎないことが重要だ。

出典

1. Attorney General Bonta Secures $6.75 Million Settlement Against Blackbaud Over 2020 Data Breach (Attorney General)。 Return to article undo
2. Complaint B2D。 Return to article undo
3. Blackbaud Judgment final B2D。 Return to article undo
4. SolarWinds Cyberattack Demands Significant Federal and Private-Sector Response (infographic) (U.S. Government Accountability Office)。 Return to article undo
5. SEC Charges SolarWinds and Chief Information Security Officer with Fraud, Internal Control Failures (U.S. Securities and Exchange Commission)。 Return to article undo