なぜサイバーリスクを過小評価してはならないのか？

イメージ：AdobeStock

インシデントから法的問題に直面し、経営層個人がその責任を問われるケースが目立ってきている。会社や役員がサイバーリスクを過小評価したことで、その責任を問われるようにもなってきているのだ。直近でのケースを題材に考察してみる。

サイバーセキュリティに取り組んでいるという虚偽の報告

非営利団体にデータ管理ソフトウェアを提供する米サウスカロライナ州のソフトウェア会社で2020年に発生したインシデントに関して、カリフォルニア州の裁判所は675万ドル（およそ10億円）の罰金を伴う和解を今年6月に発表した。_[1]  なぜ罰金を課されてしまったのだろうか？

このインシデントでは13,000人以上の顧客データが盗まれていたが、同社はハッカーが個人データにはアクセスしていないという「虚偽」の公表を行なっていた。このことがデータセキュリティ法、不正競争防止法、虚偽の広告に関連する法規制に違反していることから多額の罰金を課されることとなった。

さらに、カリフォルニア州の司法当局による調査によって、同社のセキュリティ対策が不十分であったことも判明している。公表された訴状と判決によると、既知の脆弱性に対応がされていなかったことや、MFA（多要素認証）が実装されていなかったこと、個人情報を保管するシステムでの不審な動きをモニタリングしていなかったことなどが、司法当局の調査によって明かされている。_{[2] [3]}

そして、これらの策が講じられていれば、被害を軽減できた可能性があるとも訴状には記されている。既にサイバーセキュリティに取り組まれている立場からすれば、これらがごく基本的なことであることはご理解いただけることだろう。

ところが、このソフトウェア会社ではこれらをやっていないにも関わらず、サイバーセキュリティが万全であり、個人データも侵害されていないという虚偽の説明を行なってきたことで、今回の罰金を課されることとなった。

サプライチェーンリスク

同じく2020年に、米テキサス州のソフトウェア会社で発生したインシデントもたびたび話題となっているため、ご存知の方も多いだろう。このソフトウェア会社は最大の顧客が米国防総省であり、FBIやエネルギー省といった９つの政府機関が利用しているソフトウェアを開発していたため、多くの政府機関が影響を受けた。

国防総省を直接狙わなくてもサプライチェーンを狙えばサイバー攻撃を成功させることができるということで、サプライチェーンリスクに関するケーススタディでもたびたび取り上げられている事例だ。ロシアの諜報機関が成功させたサイバー攻撃としても有名な事例の1つである。

このインシデントでは、同社の提供するソフトウェアを経由して9カ月もの間、政府機関への不正侵入が繰り返されていた。米会計監査院の公表した報告書によると、不正侵入が発覚する1年以上前から既に潜伏されていたことも分かる。_[4]

ちなみに、2022年2月24日にロシアによるウクライナ侵攻が始まった日にも、いくつものサイバー攻撃がウクライナや周辺国で発生したが、これらも半年から1年以上前に仕込まれていた攻撃だったことがその後の調査で判明している。

そして昨年末、同社に対して米証券取引委員会が「会社」と、その役員である「最高情報セキュリティ責任者」を“内部統制の不履行”と“詐欺”で訴追した。_[5]

この“内部統制の不履行”というのは直感的にも理解しやすいことと思うが、もう片方に違和感を感じられた方もおられるのではないだろうか。なぜ会社と役員が詐欺であるとして訴えられたのか？