損保ジャパンから封書が届きました。
「サイバー攻撃によるお客さま情報漏えいのおそれに関するお知らせとお詫び」でした。
情報システム、情報セキュリティの仕事をしていると、メールによるこの手の通知は日常茶飯事ですが、すごく久しぶりにプライベートで届いたような気がします(^▽^;)
漏えいした情報と通知の必要性
漏えいしたおそれのある情報は事故番号でした。
事故番号だけで個人を特定するのは難しいですが、念のためということですね(;´・ω・)
果たしてこのレベルを通知する必要があるのだろうか…と疑問ですが、法律に則った手続きなのでせざるを得ないのでしょう。
一般感覚との乖離
一方で、この情報漏えい事故は2025年4月に発生したサイバー攻撃の事故がきっかけになっています。
SNS等を見ていると「4月の事故を11月になって通知するなんて何してたんだ」的なコメントをいくつか見かけました。
同じような仕事をしている身からすると「だいぶ早いんじゃないか?」と思いますので、一般的な感覚との乖離を感じます(;´・ω・)
情報漏えいは起こしたくて起こす事故ではありませんが、こういう意見を見てしまうと事故発生時のオペレーションを見直すべきかな?と考えました。
影響範囲の特定とログの重要性
事故が起きると、影響範囲の特定が必要になります。
この調査では、まずどこまで侵害されているかを把握します。
そのとき、ログの有無が調査時間を左右します(;´・ω・)
ログがキッチリ残っていれば比較的短時間に特定まで至ることができると期待できます。
一方で、ログが残ってないと「もう全部漏えいしたことにするしかないか…」と諦めることができます。
問題は、往々にして調査の過程で一部のログが欠けているなどのトラブルが見つかるんですよね(ノД`)・゜・。
ログのサイズ問題
一例までに、従業員2人の会社さんのファイルサーバーのアクセスログを残す設定を入れたことがあります。
たった2名しか使わないサーバーですが、ファイルアクセスのログだけで1か月で数GB程度になりました。
ここにさらにOSや各アプリケーションのログなどが追加になります。
さらに従業員のPCのログも残す必要があります。
こんな感じで従業員数分の掛け算となります。
従業員2〜3名程度なら数TBのストレージを用意しておけばいいですが、損保ジャパン程の従業員規模になると気の遠くなるようなサイズになるのでしょうね(;´・ω・)
容量の問題だけであれば圧縮などで解消もできますが、それをすると調査のコストが上がってしまうのも悩ましいところです。
調査には半年から1年
そんなこんなで一度事故が起きると、コスト度外視で外部の専門家を資金の限りぶち込んで全力で解析がぶん回されます。
早ければ2〜3か月で調査が終わりますが、だいたい半年から1年は調査時間がかかります。
ヘタすると1年経っても終わらないので、そのあたりから分かっている範囲で徐々に案内を出していく会社さんもありますね(;´・ω・)
やっぱログは大事なんだよなぁ…
