【共催セミナー報告】やってみよう第2弾:ランサムウェア机上訓練ワークショップ+サイバーセキュリティ関連法務~いわゆる「アクティブサイバーディフェンス」関連法にも触れて~
| 執筆者: | ニュートン・コンサルティング 編集部 |
6月4日、ニュートン・コンサルティングは、TMI総合法律事務所様と共に「やってみよう第2弾:ランサムウェア机上訓練ワークショップ+サイバーセキュリティ関連法務~いわゆる『アクティブサイバーディフェンス』関連法にも触れて~」と題したセミナーを開催しました。
TMI総合法律事務所様とは、昨年も台湾有事をテーマに共催セミナーを開催し、実践的なワークショップを行いました。今回の「やってみよう第2弾」では、企業が押さえておくべきサイバーセキュリティの重要なポイントを解説したほか、サイバー攻撃を受けた状況を想定した机上シミュレーションも行いました。
当日は、幅広い業界の企業のリスクマネジメントやサイバーセキュリティ担当者の方々が参加しました。この記事ではセミナーの様子を抜粋してご紹介します。
はじめに:ニュートン・コンサルティング代表・副島より
はじめに、当社代表取締役社長の副島 一也が参加者の皆さまにご挨拶しました。
代表取締役社長
副島 一也
副島:ニュートン・コンサルティングはサイバーセキュリティやBCP、ERMなど、リスクマネジメントに関わるコンサルティングサービスを幅広くご提供しています。
サイバーセキュリティに限らず、人権問題などを含め、昨今は多くの会社でインシデントが発生しており、リスクマネジメントの重要性が一層高まっています。経営者が中心となり、全社一丸でリスクに対応しなければ企業価値の低下は避けられません。本日のセミナーで学んだことを、ぜひ自社に持ち帰り、今後の取り組みに役立てていただけたらと思います。
第1部:激化するサイバー攻撃の最新動向
第1部は、当社執行役員CISO/プリンシパルコンサルタントの内海 良が、「激化するサイバー攻撃の最新動向」について解説しました。
今、この瞬間にもサイバー攻撃が発生している
執行役員CISO/
プリンシパルコンサルタント
内海 良
冒頭で内海は、不正通信が世界中を飛び交う様子を表す地図を投影し、「おそらく今この瞬間にも、サイバー攻撃と思しき通信は日本に、そして皆さまの会社に飛んできているでしょう」と説明しました。
内海:侵入経路としては、子会社のネットワークを経由した不正アクセス、VPN機器の脆弱性を狙った侵入、ファイアウォールの設定ミスなどさまざまなケースがあります。また、サイバー攻撃の動機として考えられるのは、国家機関によるスパイ活動、個人の愉快犯による自己顕示、退職した従業員から組織への怨恨などです。
巧妙化・複雑化する攻撃手法
このように、一般的な攻撃の経路や動機がある程度分かっているのにも関わらず、なぜ被害を防ぐことが困難なのでしょうか。その理由として、内海は「サイバー攻撃の手法が増え、なおかつ各手法がどんどん巧妙になっているため」であると語りました。
内海:例えば、一昔前のフィッシングメールは日本語が不自然で、「怪しい」と簡単に見抜くことができましたよね。しかし、近頃はAI技術の発展により、フィッシングメールは非常に自然な文面になっていて、危険なURLをついクリックしてしまう例が増えています。
このように、サイバー攻撃の手法は巧妙化していて、完璧に防ぐことは困難になっているのです。サイバー攻撃を受けたことに気づくのが早いほど復旧コストも少なく済みますが、サイバー攻撃による侵入を検知するのには約10日かかるという調査結果もあり、すぐに検知することはなかなか難しいといえます。
今、企業に求められるのは「サイバー攻撃にできるだけ早く気づき、行動することで被害を最小限に収めること」なのです。
サイバーセキュリティのカギとなるのは「全社的な対応」
このあと、ダークウェブ上で個人情報がどのように流出するのかを画面で示しながら、デモンストレーションを実施。続いて、最新のサイバー攻撃事例を取り上げ、その経緯を解説したうえで、企業に求められる対応を整理しました。
内海:「サイバー攻撃によるシステム停止が経営に重要なインパクトを与える」ということについて強い危機意識を持ち、IT部門中心の対応から脱却しましょう。経営層が舵を取り、コーポレート部門は外部公表などの対応を考え、システム部門は復旧に取り組み、セキュリティ部門は原因を調査する…というように、全社が連動して対応することが重要です。
ある調査結果では、実効性のあるBCPが策定できている組織は、サイバー攻撃の被害を受けた際にも短期で事業を復旧できると言われています。また、サイバー攻撃を受けたら躊躇せず、早めに警察やIPA(情報処理推進機構)へ報告・相談することも大切です。取引先や顧客からの信頼を損なわないよう、情報漏えいがほぼ確定したタイミングで早期に外部公表を行う必要もあります。
第2部:サイバーセキュリティ関係法令といわゆるアクティブサイバーディフェンス法の概要
続いて、TMI総合法律事務所様が「サイバーセキュリティ関係法令といわゆるアクティブサイバーディフェンス法の概要」について解説しました。
サイバーセキュリティに関連する法律
まず、IT・情報・通信関連法分野の法律に精通した弁護士の滝川 航生氏が登場。法律の側面から見た、サイバーセキュリティに関係する基礎知識を解説しました。
滝川 航生 氏
滝川:日本では、国の責務を定めた「サイバーセキュリティ基本法」があります。ここでいう「国の責務」には、サイバーセキュリティ戦略の策定や、行政機関などにおける統一的なサイバーセキュリティ基準の策定、演習訓練などが含まれています。
この「サイバーセキュリティ基本法」を頂点として、「サイバーセキュリティ戦略」や「行動計画」が策定されており、国はこれらに基づいてサイバーセキュリティ対応を取っています。
また、国家安全保障戦略・国家防衛戦略・防衛力整備計画から成るいわゆる「防衛3文書」においても、サイバー防衛力の強化が明記されています。
企業がすべきこと、すべきではないこと
滝川氏は、企業がサイバー攻撃を受けた際の注意点についても、法的な観点から説明しました。
滝川:個人情報保護法では企業に対して、サイバー攻撃を受けて個人情報が漏えいしたことが発覚した場合、3~5日以内に速報を、60日以内に確報を個人情報保護委員会に報告する義務を定めています。攻撃を受けた際には速やかな報告が必須となります。
また、サイバー攻撃者から身代金を要求された場合について注意点をお話しします。日本には身代金支払いを直接的に禁止する法律はなく、過去には「身代金を支払わなければ事業の継続が困難」と経営層が判断して実際に支払った例もあります。ただし、一般的には身代金は支払わないのが望ましい対応となっています。身代金を支払ったからといって必ずしもシステムを復旧できるとは限らないからです。また、国によっては、経済制裁の対象となっている国や組織、人物へ身代金を支払うことが違法となるケースもあり、犯罪者集団にお金を払ったことについて、会社に制裁が課されるリスクもありますので、注意しましょう。
話題の「アクティブサイバーディフェンス法」を解説
サイバー攻撃の脅威が高まる中、国会でサイバー対処能力強化法(※1)及び同整備法(※2)が5月16日に成立。同月23日に公布されました。
これらはサイバー攻撃の兆候をいち早く検知し、効果的に防ぐ「能動的なサイバー防御」を目指す法律です。いわゆるアクティブサイバーディフェンス法と呼ばれ、注目を集めています。
このパートでは経済安全保障やサイバーセキュリティなど、幅広い法務に携わる白石 和泰氏が登場し、アクティブサイバーディフェンス関連法の全体像を解説しました。
※1:重要電子計算機に対する不正な行為による被害の防止に関する法律
※2:重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律
白石 和泰 氏
白石:アクティブサイバーディフェンス関連法は、主に3つの柱から成り立っています。
1つ目の柱は「官民連携の強化」です。政府が、基幹インフラ事業者やコンピュータ関連ベンダー等の民間事業者の同意を得た上で、民間事業者にも「情報共有及び対策に関する協議会」に参加してもらい、官民相互に情報共有をすることで、サイバー攻撃による被害を防止しようとするものです。また、基幹インフラ事業者には、特定重要電子計算機を導入した際に、製品名などを事業所管大臣に届け出る義務が課されます。さらに、特定重要電子計算機のインシデント情報やその原因となり得る事象を認知したときは、事業所管大臣と内閣総理大臣に報告する義務もあります。
そして、内閣総理大臣・事業所管大臣は、脆弱性対応のために、ベンダーなどに対して、情報提供や必要な措置を要請することなどができるようになります。
2つ目の柱は「通信情報の利用」です。政府はサイバー攻撃の実態を把握するために、通信当事者たる基幹インフラ事業者との同意に基づき、あるいは、一定の場合には独立機関の承認を得た上で、通信当事者の同意に基づくことなく、通信情報を収集・分析することができることになります。収集されるのは、外外通信(国外から日本国内を経由し、国外へと流れる通信)と外内通信・内外通信(国外から国内、あるいは、国内から国外へと流れる通信)です。日本でのサイバー攻撃関連通信の多くは国外から発信されたものであるという理由から、内内通信(国内間の通信)の情報は取得対象となっていません。
なお、情報の収集においては、憲法が定める「通信の秘密」を侵害しないよう配慮されています。通話・通信の具体的な中身は「コミュニケーションの本質的内容」と位置付けられており、これらの本質的内容は分析対象ではありません。メールを例にとれば、件名や本文、添付ファイル名、添付ファイルの内容は「コミュニケーションの本質的内容」にあたるため、分析対象とはならず、自動的に選別された後に直ちに消去されることになっています。
3つ目の柱は、「アクセス・無害化措置」です。警察官(国の行政機関、基幹インフラ、防衛産業の重要な電子計算機に対する攻撃であって、外国にある者による特に高度に組織的かつ計画的な行為と認められるものが行われた場合で、自衛隊が対処を行う特別の必要がある場合は、自衛隊)は、サイバー攻撃による重大な危害を防ぐために、攻撃元のサーバー等にアクセスして危害防止のため通常必要と認められる無害化措置を行うことができるようになります。
アクティブサイバーディフェンス法は、基幹インフラ事業者による報告義務の規定などを含め、原則として、公布(2025年5月23日付)から1年6カ月以内に施行されることになっていますが、通信情報の取得・分析などに関する条項については、公布から2年6カ月以内に施行されることとなっています。今後も最新の動向・情報を確認する必要があります。
第3部:ランサムウェア対応シミュレーションワークショップ
第3部は、ニュートン・コンサルティングの内海がファシリテータを務め、実際のランサムウェア感染を想定したワークショップを実施しました。
参加者は4,5人組のグループに分かれ、各チームを会社と想定。チーム内で「社長」「サイバーセキュリティ担当」などの役割を設定しました。そして下記のように、刻一刻と変化する状況が付与されました。
- ○月△日の朝8時、自社システムがランサムウェアに感染
- 感染から45分が経過。他社でも同様の被害が発生していることを確認
- 感染から10時間半が経過。攻撃者と思われる人物から、個人情報漏洩の脅迫メッセージを受信 …など
各チームは、これらのタイムラインに沿って、「脅迫にどのように対応するか?」「この段階で対外的な発表は行うか?」といったことを検討し、発表しました。
ワークを終えて、「身代金を支払わない前提で対応できたか」「情報漏洩がほぼ確定した際に、外部公表する判断ができたか」「損害補償について決定できたか」「外部報告先へ報告・相談できたか」といったポイントをもとに内海が講評。その後、参加者からの質問・相談にニュートン・コンサルティングとTMI総合法律事務所様が回答し、セミナーが締めくくられました。
ITや情報、通信について幅広い法的知見をもつTMI総合法律事務所様と、サイバーセキュリティのコンサルティング経験が豊富な当社。それぞれの強みを掛け合わせたセミナーとなっただけでなく、実践的なワークショップも実施したことで、参加者の皆さまの当事者意識を醸成する場となりました。
