サイバー攻撃による被害は深刻化しており、事業中断による逸失利益やデータやIT機器の復旧費用等の経済的損失と、顧客や取引先、株主等からの信頼の喪失といった被害をもたらします。一方で、サイバーインシデントを完全に防ぐ対策には限界があることから、被害を最小化するために、インシデント発生時の適切な対応が重要になります。
KPMGのサイバーインシデントレスポンスサービスは、不正・不祥事発生時の危機対応における深い知見とデジタルフォレンジックやデータ分析に係る高度な技術力、KPMGのグローバルネットワークとの連携により、サイバーインシデント発生時の対応全般(初動対応、侵入経路や原因・被害範囲の特定を目的としたフォレンジック調査、広報支援、再発防止等)にわたって、支援を提供します。
説明責任の重要性と難しさ
サイバーインシデントの発生時においては、ステークホルダーからタイムリーな説明が求められます。例えば、個人情報の漏洩等によって被害者が発生するリスクがある場合、被害者の特定や保護にむけた情報発信を一刻も早くする必要があります。また、取引先への影響が考えられる場合、適切な情報共有と対処にむけた連携が求められます。また、広報活動を通じて企業価値の棄損を最小限に食い止め、早期に信用を回復する取り組みが必要となります。
ただし、人間の心理として、現時点で分かっている情報をできるだけ「早く」、かつ「詳細」に発信することが、誠実性の高い行動であると考えがちですが、とりわけ、時々刻々と状況が変化している場合、注意が必要です。調査の最中でまだ正確性が十分に確認できていない情報を発信してしまった後、新たな事実が判明した際、訂正の必要性が生じることになります。訂正しないままにして、後になってその事実が判明した場合、企業の隠蔽体質を疑われることになります。一方、訂正を繰り返してしまうことで、貴社(組織)が発信する情報の信憑性が疑われてしまうことになります。
開示できる情報の「早さ」と「正確性」のバランスはトレードオフの関係にありますが、緊迫した状況下においても拙速な対応に陥らないような冷静さが求められます。
被害のインパクトの増大
従来のような情報漏洩による被害に加え、組織の業務を停止に追い込みサプライチェーンや社会に影響を及ぼすケースや数十億円規模の金銭的な損害が生じたケースも発生しており、サイバー攻撃による被害は深刻化しています。
- 日本の自動車メーカーの取引先がサイバー攻撃を受けてネットワーク遮断に追い込まれ、部品の受発注システムが使用できなくなり、自動者メーカーや二次取引先との部品取引が困難となり、自動車の生産ラインを停止。
- 米国最大の石油パイプラインがランサムウェアの被害により数日間の操業停止に追い込まれ、ガソリン不足の不安が生じたことにより、買い占めや価格高騰など社会的な影響が発生。
- 日本の製造業の海外子会社において、悪意ある第三者による虚偽の指示に基づき数十億円の資金を流出させるBEC(ビジネスEメール詐欺)の被害が発生。
サイバー攻撃の組織化・産業化・広範化
金銭的な利益の獲得を目的とした「二重脅迫型ランサムウェア攻撃」に代表されるように、サイバー犯罪は産業化し、組織的に行われるようになっています。
また、日本企業において、海外子会社や関連会社に対して、コストや人材不足の制約から、本社と同レベルのセキュアなIT環境が整備されていないケースは多くみられます。こういったセキュリティレベルの低いグループ会社や取引先を攻撃して、強固なセキュリティ対策を講じた本社に対して間接的に攻撃する「サプライチェーン攻撃」も増加しており、攻撃対象組織の規模や業種も広がっています。
グローバルにおけるサイバーインシデント対応の難しさ
ひとたび、サイバーインシデント対応がグローバルに及ぶとなると、言語の違いや時差への対応といったコミュニケーション上の問題、各国に合わせた法規制対応や広報対応等が必要となってきます。そのような状況下で迅速な対応をするには、国内で閉じたケースよりも一段と難易度が高くなります。これまでのKPMGにおけるグローバルに及ぶサイバーインシデント対応の経験を踏まえて、日本企業が直面する典型的な課題を以下に紹介します。
1. 現地でしかできない作業への対応
部分的にリモート対応でもできることはありますが、インシデントが発生した現地でしか対応ができない作業例:
- 攻撃を受けた機器の隔離等、封じ込め作業
- 攻撃を受けた機器からのデータ保全作業
- 攻撃を受けた機器のオンサイトでの復旧作業
- ログデータ等の解析作業(国外へのデータの持ち出しが制限されている国の場合)
2. 現地国の実情に合わせた対応
言語の障壁に限らず、法規制や当局対応等、日本からコントロールが難しい状況が想定されます。
- 現地の言語でコミュニケーションの必要性(現場の担当者やITベンダーが現地語しか分からないケース)
- 現地国の規制や慣習に則った作業の必要性
- 現地国の当局へのタイムリーな対応の必要性
3. 企業の現地要員での対応の限界
- 攻撃を受けた現地法人の要員が限られており、本件の対応に割ける人数の限界
- 現地要員のスキルでは対応が難しい作業(例えば、デジタルフォレンジックの専門知識が必要となる作業等)への対応
- 本社(日本)への報告や他拠点との緊密連携が必要な状況におけるプロジェクト管理スキルの必要性
4. 同時に複数国の対応をする際のコントロールの難しさ
同時に複数の国の拠点の対応をコントロールするには、司令塔/コミュニケーションハブが必要となります。
- アジア、欧州、米国等、同時に複数の国や地域での対応が発生する場合、言語や時差がある中、本社が司令塔としての役割をする必要性
- 各国の対応状況を把握し、グローバルで一貫性の取れた対応をする必要性
- 各国から報告される情報を日本語で本社(国内)への報告、および関係各所への情報連携の必要性
KPMGのグローバルネットワークの活用
9,300名を超えるサイバーセキュリティのプロフェッショナルが、45,000名を超えるリスクコンサルタントとともにグローバルベースのサービスを提供します。
KPMGのグローバルネットワークを活用し、海外拠点で発生したインシデント対応につきましては、現地のKPMGメンバーファームと協力してサービス提供を行います。
グローバル対応におけるKPMGの強み
KPMGでは、海外のKPMGのサイバーセキュリティ専門家とも連携し、海外展開を行っている日本企業のサイバーインシデント対応をご支援します。
|
サイバーインシデント発生時の対応内容とKPMGによる支援内容
初動対応
企業における調査・危機対応の流れ
- 証拠となるデータの収集、保全
- 調査体制、調査計画の検討
- 初回プレスリリース
- 各ステークホルダー対応
- 規制当局、監督官庁対応
KPMGによる支援内容
- 対応体制、計画策定に係るアドバイス
- 調査対象機器やログデータ等のデータ保全の支援
- プレスリリースやステークホルダー、当局対応に係るアドバイス
封じ込め・除去・回復/調査/再発防止策策定/ステークホルダー対応
企業における調査・危機対応の流れ
- 被害抑止のための封じ込めの実施
- - ネットワーク遮断
- - アカウント停止、各種パスワード変更
- - パッチ適用、等
- 封じ込め期間中の代替運用の検討、適用
- フォレンジック調査の実施
- - 侵入経路、手口、時期・期間
- - 侵害範囲、情報漏洩の対象範囲、等
- 除去・回復
- - 機器のクリーンインストールや再構築
- - 平常運用に移行するための安全確認
- 侵入を許した原因や背景要因の分析
- 再発防止策の策定
- プレスリリース
- 各ステークホルダー対応
KPMGによる支援内容
- 封じ込めに係る支援
- - 封じ込めの方針や代替運用に係るアドバイス
- サイバーフォレンジック調査
- - PCやサーバー等のホストフォレンジック調査の実施
- - ネットワークログ等の分析の実施
- サイバーインテリジェンス調査
- 除去・回復に係る支援
- - 除去や回復に係るアドバイス
- - 脆弱性診断やペネトレーションテストの実施
- 再発防止策の策定に係る支援
- - セキュリティ管理態勢のアセスメント
- - 改善に向けたアドバイス
- ステークホルダー対応に係る支援
- - プレスリリースの内容やタイミングに係るアドバイス
- - 顧客や取引先への説明や質問対応に係るアドバイス
- - 規制当局への報告内容に係るアドバイス
- 犯行グループとの交渉支援
再発防止策の実行・モニタリング
企業における調査・危機対応の流れ
- 再発防止策の実行
- 再発防止策の実行、運用状況の確認
- 追加攻撃や被害状況のモニタリング
KPMGによる支援内容
- 再発防止策の実行に係わるアドバイス、PMO支援
- 再発防止策の運用状況のモニタリング(内部監査)支援
- ダークウェブ等での情報流出状況のモニタリング実施
KPMGのサービス提供事例
1. ランサムウェア・インシデント対応支援
グローバルで事業を展開する企業にて、VPNの脆弱性を突かれ、国内外の多数のPCやサーバーがランサムウェアに感染させられた上に、窃取したデータをダークウェブ上で暴露するとする二重脅迫を受けるインシデントが発生。被害拡大抑止のためのネットワーク遮断により業務が一定期間停止。また、取引先から委託を受けた個人情報や機密情報が流出した可能性があったことから、多数の取引先から説明を求められる事態に発展。
KPMGは、侵入経路や被害範囲の調査の支援から、侵害の影響の除去や通常業務への回復に向けた対応に係わる支援、流出した可能性のある個人情報の範囲の特定や取引先への説明や質問への対応に係わるアドバイス、再発防止策の策定や実行の支援等、インシデント発生から収束までにわたるサービス提供を通じて、正常業務の再開や取引先との関係維持に貢献。
2. BECによる資金流出事案の調査支援
電子メールの送受信履歴や関係者への聴き取り調査による事実解明、攻撃者によるPCや電子メールアカウントへの侵害の可能性を確認するためのフォレンジック調査、攻撃者の視点から対象企業における脆弱性の有無を確認するためのサイバーインテリジェンス調査等、複数のアプローチを組み合わせてインシデントの実態解明や再発防止策の策定に貢献。
3. サイバーセキュリティ管理態勢のアセスメントや内部監査支援
インシデント収束後の再発防止策の実行や運用状況を客観的な視点で確認するためのモニタリング支援や、その他、サイバーインシデントの実務経験に基づくサイバーセキュリティ管理態勢のアセスメントや定期的な内部監査の支援業務を数多く提供。
