委託先、クラウド、ソフトウェア部品、ID基盤などを経由する攻撃について、企業法務、危機管理、技術調査、対外説明を一体で進めるための実務ポイントを整理します。
復旧、法的報告、契約対応、公表、再発防止を同じ時間軸で動かすことが出発点です。
復旧、法的報告、契約対応、公表、再発防止を同じ時間軸で動かすことが出発点です。
このページは、企業がサプライチェーン攻撃を受けた場合の被害対応について、企業法務、個人情報保護、危機管理、デジタルフォレンジック、契約実務、経営ガバナンスの観点から整理する一般的な解説です。個別案件では、業種、契約構造、情報の種類、海外拠点の有無、上場状況、監督官庁、被害規模、攻撃の継続性、証拠の状態によって判断が変わります。
実際の対応では、企業内弁護士、外部弁護士、CISO、CSIRT、個人情報保護担当、デジタルフォレンジック専門家、監査・会計専門家、広報・IR担当、必要に応じて所管官庁、警察、JPCERT/CC等と連携して検討する必要があります。
サプライチェーン攻撃の被害対応は、単なる自社システムの復旧作業ではありません。攻撃者は、委託先、再委託先、クラウド、マネージドサービスプロバイダ、ソフトウェア部品、更新配信機構、開発環境、API、ID管理基盤、物流・製造・保守網など、企業活動を支える外部依存関係を足場にします。
次の強調表示は、被害対応で同時に統合すべき考え方を表しています。読者にとって重要なのは、技術復旧だけを急ぐのではなく、証拠、通知、説明、契約協力、経営判断を同じ作業計画に乗せる必要があると読み取ることです。
封じ込め、証拠保全、個人情報対応、契約通知、顧客説明、事業継続、復旧、再発防止を分断せず、対策本部で一元的に扱うことが信頼回復の前提になります。
製造業の供給網だけでなく、SaaS、クラウド、保守経路、開発環境、OSSまで含めて捉えます。
サプライチェーン攻撃とは、最終的な標的企業を直接攻撃するのではなく、その企業が依存する外部の組織、サービス、ソフトウェア、部品、保守経路、開発環境、取引網、認証基盤などを悪用して、侵入、情報窃取、業務妨害を行う攻撃です。
ここでいうサプライチェーンは、製造業の部品供給網だけを意味しません。システム開発会社、クラウド事業者、SaaS、会計・給与・人事サービス、物流、コールセンター、販売代理店、決済代行、広告配信、ソフトウェアライブラリ、オープンソース、CI/CD、電子証明書、IDプロバイダ、リモート保守ベンダーも含まれます。
次の比較表は、サプライチェーン攻撃の代表的な経路と、企業法務で同時に確認すべき論点を整理したものです。読者にとって重要なのは、攻撃経路ごとに必要な契約確認、情報保護、責任整理が異なるため、自社の事案がどの類型に近いかを早期に見分けることです。
| 類型 | 例 | 法務上の主な論点 |
|---|---|---|
| 委託先侵害型 | 業務委託先、BPO、開発会社、保守ベンダーが侵害され、自社データが流出します。 | 委託契約、再委託、個人情報保護法、秘密保持、損害賠償、本人通知を確認します。 |
| リモート保守悪用型 | VPN、リモートデスクトップ、保守アカウント、MSPツールが悪用されます。 | アクセス管理義務、ログ提供、権限設計、過失、契約監査権を確認します。 |
| ソフトウェア更新汚染型 | 正規アップデートやパッケージ配布経路にマルウェアが混入します。 | サービス責任、脆弱性対応、顧客通知、SBOM、ライセンスを確認します。 |
| オープンソース依存型 | OSSライブラリ、パッケージ、コンテナイメージ、依存関係に悪意あるコードや脆弱性が含まれます。 | 開発管理、OSSコンプライアンス、契約保証、セキュア開発義務を確認します。 |
| クラウド・SaaS侵害型 | SaaS管理画面、APIキー、IDプロバイダ、クラウドストレージが悪用されます。 | データ処理契約、責任分界、ログ取得、越境移転、顧客説明を確認します。 |
| ビジネスメール・商流詐欺型 | 取引先メールの侵害により、偽請求書や送金先変更が行われます。 | 支払義務、本人確認、内部統制、損害分担、保険を確認します。 |
| 製造・OT波及型 | 取引先ネットワーク経由で工場、制御システム、物流に影響が及びます。 | 事業継続、製品供給責任、安全配慮、監督官庁報告を確認します。 |
被害対応には、インシデント検知、初期トリアージ、被害拡大防止、証拠保全、ログ保全、デジタルフォレンジック、委託先・クラウド事業者との共同調査、個人情報・営業秘密・業務データの影響評価が含まれます。
さらに、個人情報保護委員会、警察、JPCERT/CC、IPA、所管官庁等への報告・相談、取引先、顧客、本人、株主、投資家、従業員、メディアへの説明、契約上の通知・協力・補償・責任制限、保険通知、損害算定、訴訟・紛争対応、再発防止、取締役会報告、内部統制改善までを一連の作業として扱います。
複数組織に事実が分散し、技術対応、法的対応、公表判断の時間軸がずれます。
サプライチェーン攻撃では、侵入経路、攻撃者の操作ログ、漏えいしたデータ、再委託先の関与が複数組織に分散します。自社は攻撃者から見れば被害者ですが、顧客や委託元から見れば、損害発生の原因企業に見える場合があります。
技術班は、アカウント停止、ネットワーク遮断、パッチ適用、再構築を急ぎます。一方で法務班は、証拠保全、原因調査、通知義務、監督官庁報告、損害賠償、保険、訴訟リスクを考えます。ここで調整を誤ると、復旧を急いでログを消す、または証拠保全に固執して被害拡大を放置するという失敗が起こります。
次の一覧は、対応が難しくなる主な要因を四つに分けたものです。読者にとって重要なのは、各要因が単独ではなく連鎖するため、法務・技術・広報・経営の連携を初期から設計する必要があると読み取ることです。
侵入経路、ログ、再委託先、クラウド操作履歴が委託先や外部サービス側にあるため、契約上の監査権やログ提供義務が重要になります。
封じ込めは数時間単位で進み、法的評価や公表文は慎重な確認を要します。最低限の証拠を保存しながら止める順序を決めます。
当局、委託元、本人、取引先、投資家、社員、メディアに対し、目的と粒度を分けた説明が必要になります。
自社も被害者である一方、顧客からは委託先または原因企業と見られる場合があり、注意義務と説明の誠実性が問われます。
次の比較表は、情報を伝える相手、目的、留意点を区別したものです。読者にとって重要なのは、公表、法令上の報告、契約上の通知、技術情報共有を混同せず、相手ごとに必要な情報だけを適切な粒度で出すことです。
| 区分 | 主な相手 | 主な目的 | 留意点 |
|---|---|---|---|
| 技術情報共有 | JPCERT/CC、業界ISAC、セキュリティベンダー、同種被害企業 | 被害拡大防止、攻撃手法把握、IOC共有 | 被害者名、顧客名、営業秘密を不要に含めないようにします。 |
| 法令上の報告 | 個人情報保護委員会、所管官庁、海外当局等 | 法令遵守、監督対応 | 期限、様式、報告主体、続報管理を確認します。 |
| 契約上の通知 | 委託元、顧客、共同事業者、保険会社 | 契約履行、協力要請、損害拡大防止 | 通知期限、通知先、協力義務、責任留保を確認します。 |
| 本人通知 | 個人データ本人、従業員、会員、患者、取引先担当者等 | 二次被害防止、権利保護 | 対象者特定、なりすまし防止、問い合わせ対応を設計します。 |
| 公表 | 社会、メディア、投資家、利用者 | 透明性確保、混乱防止、風評抑制 | 未確定情報の断定を避け、更新計画を示します。 |
台帳、契約、経営関与、演習を発生前にそろえておくことが実務上の差になります。
発生後に初めて委託先、契約通知先、ログ保存状況、緊急連絡先を探す体制では、初動で大きく遅れます。平時の準備では、法務、調達、IT、事業部門が共同で、重要委託先と外部依存関係を見える化します。
次の比較表は、サプライチェーン台帳に入れるべき情報を整理したものです。読者にとって重要なのは、攻撃発覚後に誰へ、どの情報について、いつまでに、誰が通知するかを決めるために、契約情報と技術接続情報を同じ台帳で管理する必要がある点です。
| 台帳項目 | 整理する内容 |
|---|---|
| 外部依存先 | 重要委託先、再委託先、クラウド、SaaS、MSP、決済代行、物流、コールセンターを整理します。 |
| 接続方式 | VPN、API、SFTP、専用線、クラウドIAM、管理者アカウントを整理します。 |
| 取り扱う情報 | 個人データ、要配慮個人情報、決済情報、営業秘密、ソースコード、設計情報、医療情報、金融情報を分類します。 |
| 契約条件 | 通知期限、監査権、再委託承諾、ログ提供義務、セキュリティ基準、損害賠償、責任制限を確認します。 |
| 連絡と継続 | 担当者、緊急連絡先、夜間休日連絡方法、代替手段、バックアップ、業務継続上の重要度を記録します。 |
| 海外要素 | 海外移転、海外委託、外国法規制、海外拠点の有無を確認します。 |
次の比較表は、有事に情報が出る契約条項を中心に整理しています。読者にとって重要なのは、責任追及条項だけでなく、ログ提供、調査協力、通知、再委託管理のように、調査と説明を可能にする条項を事前に入れておくことです。
| 条項 | 実務上の意義 |
|---|---|
| セキュリティ基準 | MFA、暗号化、ログ保存、脆弱性管理、EDR、バックアップ等の最低水準を明文化します。 |
| インシデント通知 | 何時間以内に誰へ何を通知するかを定めます。単に速やかにと書くだけでは不足しやすくなります。 |
| 調査協力・ログ提供 | フォレンジック、ログ、IOC、影響範囲調査への協力義務を定めます。 |
| 再委託管理 | 再委託の承諾、再委託先への同等義務、再委託先侵害時の通知を定めます。 |
| 監査権 | 平時監査と有事監査を分け、第三者認証やSCS評価も参照できるようにします。 |
| データ返還・削除 | 侵害時、契約終了時、委託終了時の削除証明やバックアップの扱いを定めます。 |
| 秘密保持 | 攻撃情報共有、当局報告、公表との関係を整理します。 |
| 損害賠償・責任制限 | 直接損害、間接損害、逸失利益、制限額、例外を定めます。 |
| サイバー保険 | 保険加入義務、保険通知、保険金請求協力を定めます。 |
| 事業継続 | RTO、RPO、代替手段、停止判断、復旧優先順位を定めます。 |
次の時系列は、平時準備を経営管理に戻す流れを表しています。読者にとって重要なのは、サイバーリスクをIT部門だけに閉じず、取締役会報告、予算、演習、内部監査、保険更新まで継続的に回す必要があると読み取ることです。
重要委託先のリスク評価、演習結果、内部監査結果、保険更新、監督官庁対応方針を取締役会または経営会議で扱います。
データ重要度、接続深度、業務依存度、代替困難性を確認し、契約条項とセキュリティ要求に反映します。
委託先侵害、SaaS侵害、MSP悪用、OSS更新汚染、製造委託先停止などのシナリオで、初報から公表までを検証します。
人命・安全、攻撃継続、封じ込め、証拠保全、通知期限を同時に見ます。
初動では、人命・安全・社会インフラ・医療・金融・製造安全への影響、攻撃の継続性、止めるべき接続、保存すべき証拠、個人情報や営業秘密への影響、契約・法令・監督官庁・顧客通知期限、経営判断事項を順番に確認します。
次の判断の流れは、初動24時間で確認する順番を表しています。読者にとって重要なのは、いきなり全停止するのではなく、命や社会的影響、攻撃継続、証拠保全、通知期限を順に見て、止める対象と残す証拠を決めることです。
人命、医療、金融、製造安全、社会インフラへの影響を最初に見ます。
侵害された接続、管理者アカウント、VPN、APIキー、SaaS連携を確認します。
ID、EDR、SIEM、クラウド監査ログ、メール、端末、通信記録を優先します。
遮断、停止、秘密情報ローテーション、契約・当局・保険の期限確認を進めます。
委託先、クラウド、MSPへログ保全を要請し、断定せず続報管理をします。
次の比較表は、対策本部で分ける役割と任務を整理したものです。読者にとって重要なのは、唯一の真実の情報源を作り、部署ごとに異なる説明をしない体制を最初の数時間で置くことです。
| 役割 | 主担当 | 主な任務 |
|---|---|---|
| インシデントコマンダー | CISO、CIO、危機管理責任者、経営幹部 | 全体指揮、優先順位、リソース確保を行います。 |
| 法務責任者 | ゼネラルカウンセル、企業内弁護士、外部弁護士 | 法令、契約、証拠、責任、当局対応を統括します。 |
| 技術調査班 | CSIRT、SOC、IT、フォレンジック専門家 | 封じ込め、ログ保全、原因調査、復旧を担います。 |
| プライバシー班 | 個人情報保護担当、DPO、法務 | 個人データ影響評価、PPC報告、本人通知を扱います。 |
| 事業継続班 | 事業部門、製造、物流、営業、カスタマーサポート | 代替運用、顧客対応、サービス復旧を調整します。 |
| 広報・IR班 | 広報、IR、経営企画 | 公表文、投資家説明、FAQ、問い合わせを管理します。 |
| 調達・ベンダー班 | 調達、外部委託管理、IT契約担当 | 委託先連絡、契約確認、ログ要請を行います。 |
| 財務・保険班 | 経理、財務、保険、会計士 | 損害把握、保険通知、開示影響を確認します。 |
| 人事・労務班 | 人事、社労士、労務法務 | 従業員端末、内部調査、労務対応を扱います。 |
次の一覧は、初動で保存または保全要請を行う証拠を種類ごとに分けたものです。読者にとって重要なのは、消えやすいログやメモリ情報から優先し、外部組織にある証拠は具体的な対象を示して保全要請することです。
EDRアラート、端末ログ、メモリ、ディスクイメージ、バックアップ履歴、暗号化ファイルのサンプルを保全します。
証拠保全VPN、RDP、ゼロトラストアクセス、IDプロバイダ、SSO、MFA、管理者操作ログを確認します。
ID基盤クラウド監査ログ、ストレージアクセスログ、APIログ、メールヘッダ、転送設定、OAuth許可を保全します。
外部サービスCI/CD、Git、コンテナレジストリ、パッケージ管理ログ、秘密情報の利用履歴を確認します。
ソフトウェア供給網完全な原因究明を待たず、法的・事業的に重要な影響範囲を一次評価します。
最初の72時間では、影響を受けたシステム、情報、相手、影響の態様、継続リスクを分類します。本番、開発、検証、バックアップ、ID基盤、端末、クラウド、SaaSのどこが影響を受けたか、個人データ、決済情報、認証情報、営業秘密、技術情報、未公表情報が含まれるかを確認します。
次の比較表は、個人情報保護法上の漏えい等対応で特に確認する期限と対象を整理したものです。読者にとって重要なのは、実際の持ち出しが確定していなくても、漏えい等のおそれがある段階で報告や本人通知の検討が始まる点です。
| 項目 | 確認する内容 |
|---|---|
| 速報 | 発覚日から3-5日以内を目安に、判明している範囲で個人情報保護委員会への報告を検討します。 |
| 確報 | 原則30日以内に報告します。不正目的のおそれがある場合は60日以内が基本線になります。 |
| 報告対象 | 要配慮個人情報、財産的被害のおそれがある情報、不正目的による行為、1,000人超に係る漏えい等を確認します。 |
| 委託先侵害 | 委託元と委託先の役割、本人との関係、契約上の分担、実態に基づき報告主体を整理します。 |
| 本人通知 | 対象者、情報の種類、二次被害防止策、問い合わせ窓口、更新方法を検討します。 |
| 海外要素 | GDPR、NIS2、各国データ保護法、業法上の通知期限が併存する可能性を確認します。 |
次の比較表は、契約上の通知を管理するための項目です。読者にとって重要なのは、複数契約の通知期限が同時に動き始めるため、相手方、期限、必要記載事項、責任留保を一覧化して管理することです。
| 管理項目 | 内容 |
|---|---|
| 契約名・相手方 | 顧客、委託元、委託先、再委託先、クラウド、保険会社を整理します。 |
| 通知事由 | セキュリティ事故、漏えい等、サービス停止、不可抗力、重大障害を確認します。 |
| 通知期限 | 即時、24時間、48時間、72時間、合理的期間などの期限を管理します。 |
| 通知先 | 契約担当、法務、セキュリティ窓口、指定メール、ポータルを確認します。 |
| 必要記載事項 | 発生日、影響範囲、対応状況、再発防止、本人通知、当局報告を整理します。 |
| 公表制限 | 事前承諾、協議、例外、当局要請時の扱いを確認します。 |
| 責任留保 | 初期通知では、責任を認める趣旨ではないことや権利留保を必要に応じて明記します。 |
不正アクセス、電子計算機損壊等業務妨害、恐喝、詐欺、マルウェア配布、秘密情報窃取など刑事事件性がある場合、警察への相談・被害申告、JPCERT/CCへのインシデント対応依頼、IPAへの届出・相談を検討します。外部機関へ提供する情報の範囲、秘密保持、個人情報、営業秘密、証拠の真正性、将来の刑事・民事手続への影響も整理します。
上場会社または上場準備企業では、業績、事業継続、重要サービス、顧客信用、財務諸表、内部統制、重要契約への影響を踏まえ、適時開示、臨時報告、投資家説明の要否を検討します。未公表の重要事実になり得るため、関係者リスト、役員・社員への売買制限、外部専門家との秘密保持、IR文言の整合性を管理します。
フォレンジック調査、ランサムウェア、公表、保険、会計処理を並行して進めます。
3日から30日の段階では、原因調査と事業復旧が進む一方で、顧客・委託元への説明、本人通知、公表、保険通知、損害算定、会計・税務・開示への影響を整理します。調査は犯人探しだけではなく、法務上の問いに答えるために設計します。
次の比較表は、法務上の問いと技術調査で確認すべき事項の対応関係を表しています。読者にとって重要なのは、調査依頼を抽象的に出すのではなく、通知・公表・損害評価に必要な答えを技術調査の項目へ落とし込むことです。
| 法務上の問い | 技術調査で確認すべき事項 |
|---|---|
| いつ侵入されたか | 初期侵入時点、横展開、権限昇格、データアクセス時点を確認します。 |
| どこから侵入されたか | 脆弱性、認証情報、委託先VPN、RDP、メール、SaaS、CI/CDを確認します。 |
| 何にアクセスされたか | ファイル、DB、メール、クラウドストレージ、ソースコード、ログを確認します。 |
| データは持ち出されたか | 圧縮、転送、外部通信、クラウド同期、リークサイト、攻撃者痕跡を確認します。 |
| 攻撃は継続しているか | 永続化、バックドア、未停止アカウント、スケジュールタスク、WebShellを確認します。 |
| 顧客・委託元に影響があるか | 顧客別データ、テナント分離、アクセス制御、共有領域を確認します。 |
| 委託先・再委託先の責任はあるか | 契約基準違反、ログ欠落、パッチ未適用、MFA不備、再委託管理不備を確認します。 |
| 再発防止は何か | 根本原因、設計不備、運用不備、監査不備、教育不足を整理します。 |
次の一覧は、ランサムウェアを伴う場合の判断要素を整理したものです。読者にとって重要なのは、身代金支払を単なる復旧手段として扱わず、技術、法務、保険、警察、経営、社会的影響を含む重大な経営判断として扱うことです。
暗号化範囲、バックアップの健全性、世代、隔離性、復元テストを確認します。
リークサイト掲載、圧縮・転送の痕跡、攻撃者の脅迫文、二次被害の可能性を確認します。
復号や漏えい防止は保証されず、制裁、犯罪収益移転、反社会的勢力対応、保険約款、社会的批判に関係します。
医療、製造、物流、顧客サービス、消費者への影響を踏まえ、事業継続と説明を検討します。
説明では、自社データへの影響、個人情報・営業秘密・未公表情報の有無、二次被害防止策、サービス停止・復旧見込み、当局報告・本人通知の分担、追加調査結果の共有時期、再発防止策に答える必要があります。初報は、判明済み事実、調査中事項、相手方にお願いしたい事項を分け、断定しすぎない形にします。
公表文では、発覚日、発覚経緯、影響システム、影響情報、対象人数や顧客数、実施済み措置、二次被害防止策、今後の対応、問い合わせ窓口、役員コメントの要否、関係者へのお詫びを整理します。保険では、通知期限、事前承認、対象費用、免責事由、制裁条項、外部専門家指定を確認します。会計・税務では、復旧費用、専門家費用、通知費用、訴訟費用、損害賠償引当金、保険金収入、事業停止による売上減、内部統制報告制度への影響を確認します。
根本原因を技術、契約、管理、経営に分け、調達・契約・監査・開発へ戻します。
再発防止策は、MFA導入や社員教育だけでは不十分です。技術、契約、管理、経営の四層で根本原因を整理し、責任者、期限、予算、監査方法まで決める必要があります。
次の比較表は、根本原因を四層に分けて整理したものです。読者にとって重要なのは、技術的な欠陥だけでなく、契約条項、サプライヤー管理、取締役会報告、予算判断まで再発防止の対象に含めることです。
| 層 | 例 |
|---|---|
| 技術 | 脆弱性未修正、MFA未導入、過大権限、ログ不足、ネットワーク分離不足、バックアップ不備を見直します。 |
| 契約 | 通知期限なし、ログ提供義務なし、再委託管理不備、監査権なし、責任分界の曖昧さを見直します。 |
| 管理 | サプライヤー台帳なし、重要委託先評価なし、例外管理なし、演習なし、連絡網不備を見直します。 |
| 経営 | セキュリティ予算不足、取締役会報告不足、CISO権限不足、リスク受容の記録なしを見直します。 |
次の時系列は、サプライヤーリスク管理を調達から退出まで組み込む流れを表しています。読者にとって重要なのは、契約締結時だけでなく、利用開始後も継続的に評価し、重大変更やインシデント時に見直すことです。
データ重要度、接続深度、業務依存度、代替困難性で分類します。
認証、暗号化、ログ、脆弱性対応、バックアップ、開発管理を要求します。
第三者認証、監査報告書、SCS評価、テスト結果を確認し、通知、協力、監査、再委託、責任、事業継続へ反映します。
年次確認、重大変更時確認、情報共有、データ返還・削除、代替ベンダー、移行手順を管理します。
次の一覧は、ソフトウェアを開発・提供する企業が再発防止に組み込む対策を整理したものです。読者にとって重要なのは、SBOMやSSDFを開発部門だけの手順にせず、契約保証、監査、顧客説明、脆弱性開示の基準として使うことです。
SBOM、SSDF、依存パッケージの脆弱性管理、依存関係固定、悪意あるパッケージ対策を組み込みます。
開発管理署名付きビルド、改ざん検知、リリース承認、CI/CDの権限分離、秘密情報管理、監査ログを整備します。
供給経路コードレビュー、SAST、DAST、SCA、IaCスキャン、本番環境と開発環境の分離を進めます。
検証顧客向け脆弱性通知プロセス、緊急連絡先、公開範囲、更新計画を整備します。
対外対応最終報告書には、事案概要、発覚経緯、時系列、侵入経路、攻撃者の行動、影響範囲、個人情報・営業秘密・顧客データの影響、事業影響、財務影響、顧客対応、当局対応、初動対応の評価、契約・委託先管理の課題、法令・契約違反の有無、損害賠償・保険対応、再発防止策、責任者、期限、予算、取締役会としての監督事項、追加公表の要否を含めます。
サプライチェーン攻撃後の法的論点は、一つの法律だけでは整理できません。個人情報保護法、委託契約・クラウド契約、不法行為・債務不履行、会社法、労務、営業秘密、知的財産、クロスボーダー規制が重なります。
次の一覧は、主要な法的論点を分野別に整理したものです。読者にとって重要なのは、各分野で確認すべき資料と判断主体が異なるため、対策本部内で担当を分けつつ、対外説明は整合させることです。
対象情報が個人情報・個人データ・保有個人データか、要配慮個人情報や決済情報を含むか、漏えい等またはそのおそれか、報告主体と本人通知を確認します。
ログ保全、影響範囲調査、再委託先確認、本人通知協力、顧客説明資料、責任共有モデル、顧客側責任を確認します。
当時の水準として合理的なセキュリティ措置だったか、契約基準違反、通知遅延、ログ不足、再委託先責任、責任制限条項を確認します。
会社規模、業種、情報の重要性、社会的影響に応じた管理体制、取締役会議事録、CISO報告、予算判断、再発防止策を確認します。
海外顧客、海外子会社、EU居住者データ、米国上場、海外クラウドが関与する場合、GDPR、NIS2、SEC開示規則などを確認します。
後日の訴訟、行政調査、第三者委員会、監査では、平時のリスク評価、契約交渉記録、セキュリティ基準、監査結果、例外承認、脆弱性対応履歴、ログ設定、バックアップテスト、演習記録、取締役会報告、事故時の意思決定記録が重要になります。
専門職の役割は重なります。平時から分担を決めておくことが初動の速度を左右します。
被害対応では、経営、取締役会、監査役、法務、外部専門家、CISO、CSIRT、フォレンジック、個人情報保護担当、広報、営業、人事、会計、知財、外部機関が同時に動きます。攻撃後に初めて名簿を作る組織は、初動で遅れやすくなります。
次の比較表は、主な関与者と役割を整理したものです。読者にとって重要なのは、誰が意思決定し、誰が証拠を守り、誰が顧客へ説明し、誰が当局や専門機関と接点を持つかを明確にすることです。
| 関与者 | 主な役割 |
|---|---|
| 経営者・CEO | 重大判断、対策本部設置、顧客・社会への説明責任を担います。 |
| 取締役会 | リスク監督、再発防止承認、開示・事業継続判断を行います。 |
| 監査役・監査等委員 | 内部統制・取締役職務執行の監査、再発防止の確認を担います。 |
| ゼネラルカウンセル・CLO | 法的全体統括、経営判断支援、外部弁護士管理を行います。 |
| 企業内弁護士・法務担当 | 契約確認、通知、当局対応、証拠保全、責任整理を担います。 |
| 外部弁護士・外国法事務弁護士 | 法的リスク評価、秘匿特権、当局・訴訟・公表支援、海外通知を支援します。 |
| CISO・CSIRT | 技術指揮、封じ込め、復旧、IOC共有、セキュリティ判断を担います。 |
| デジタルフォレンジック専門家 | 証拠保全、原因調査、漏えい可能性評価、報告書作成を行います。 |
| 個人情報保護担当・DPO | 個人データ影響評価、PPC報告、本人通知、海外移転を確認します。 |
| 調達・ベンダー管理 | 委託先連絡、契約上の協力要請、サプライヤー評価を担います。 |
| 広報・IR | 公表文、FAQ、メディア、投資家、従業員向け説明を整えます。 |
| 公認会計士・税理士 | 損害、引当、保険金、税務、内部統制評価を確認します。 |
| 警察・JPCERT/CC・IPA | 被害相談、情報共有、被害拡大防止、技術的助言の窓口になります。 |
初動24時間、法務、技術の三つに分けて、確認漏れを減らします。
チェックリストは、対策本部の作業漏れを減らすための確認表です。読者にとって重要なのは、同じ項目を一度だけ確認するのではなく、事実が更新されるたびに初動、法務、技術の観点から再確認することです。
顧客・委託元への第1報と、サプライヤーへの情報提供要請を分けて準備します。
初報は、現時点で判明している情報に基づくものとして、影響範囲、原因、データ漏えいの有無が調査中であることを明確にします。件名、発覚日時、対象システム、現時点の影響、実施済み措置、相手方にお願いしたい事項、更新予定、責任判断を示すものではない旨、問い合わせ先を含めます。
サプライヤーへの要請では、未確定事項は調査中と明記して続報を求めます。発覚日時、検知方法、初期侵入推定日時、影響システム、当社データへのアクセス可能性、データ閲覧・取得・圧縮・転送・削除・暗号化の痕跡、再委託先や海外拠点の有無、保全済みログ、封じ込め措置、外部機関への相談状況、公表予定、今後の報告頻度を確認します。
一般的な制度説明として、判断が分かれやすい点を整理します。
一般的には、一律に全停止するのではなく、攻撃継続性、事業影響、証拠保全、拡大防止を踏まえて判断するとされています。侵害された接続、管理者アカウント、VPN、APIキー、SaaS連携などは直ちに停止・ローテーションする場面があります。ただし、医療、製造、物流、顧客サービスに重大影響が出る可能性もあるため、具体的な封じ込め範囲は専門家と確認する必要があります。
一般的には、確認されていないという説明だけで安全と判断するのは慎重であるべきとされています。ログがあるうえで痕跡がないのか、ログがないため確認できないのか、まだ調査していないのかで意味が変わります。ログの有無、調査範囲、専門家の関与、当社データへのアクセス可能性を確認する必要があります。
一般的には、委託先任せにせず、本人との関係、個人データの管理主体、契約上の役割、顧客期待、当局報告義務を踏まえて委託元自身の義務を検討する必要があります。委託先が文案作成を支援することはありますが、委託元としての説明責任が残る可能性があります。
一般的には、不要と直ちに判断できるとは限りません。個人情報保護法上は、漏えい等のおそれも問題になります。サーバへの不正アクセス、マルウェア通信、専門家からの漏えい可能性指摘、ランサムウェアによる個人データの利用不能などがある場合、報告対象かを慎重に検討する必要があります。
一般的には、解決は保証されないとされています。復号鍵が機能しない、データが既に流出している、再攻撃される、制裁・犯罪収益・反社会的勢力対応の問題がある、保険の対象外となる可能性があります。支払判断は、技術、法務、保険、警察、経営、社会的影響を踏まえて検討する必要があります。
一般的には、事案によって結論が変わります。全容解明を待つと、本人の二次被害防止、顧客の対策、投資家判断、社会的混乱防止に遅れが出る場合があります。一方、未確定情報を断定的に公表すると、誤情報、風評、責任認定、追加訂正のリスクがあります。判明済み事実と調査中事項を分け、段階的に公表・更新する方法が検討されます。
一般的には、規模に応じた対応が必要とされています。ただし、すべてを自社で抱える必要はありません。緊急連絡先、バックアップ、重要委託先台帳、契約通知先、外部専門家候補、警察・JPCERT/CC・IPA相談窓口、パスワード・MFA管理、ログ保存を最低限整備することが重要です。
公的機関・標準化機関等の資料名を中心に整理しています。