これからは説明責任の幅が広くなる どこまでやればいいのか
本田:ここからは日本に視点を移そうと思います。これまでのセキュリティ対策の根底にあるものは何でしょうか。
西尾:これまでの日本のセキュリティ対策はCSFでいうところの「特定」と「防御」までが中心でした。これらは日本における事件の捜査方法やそこで求められる説明責任と関連しています。しかし日本ではサイバー攻撃発生時に攻撃者が悪いのか、対策を怠った人が悪いのか、議論が熟していませんでした。
本田:議論が進まなかったのはなぜでしょう。
西尾:サイバー攻撃というと、とんでもない不思議な力を持つ魔法使いの仕業のようなイメージがあったのかもしれません。しかし原理を把握すればそう難しくありません。技術者でなくても、講習を受ければ攻撃の仕組みを理解することができます。アメリカでは政府と法曹界が協力してSP800文書などで最低限の善管注意義務を定めました。
一方、日本で発生した事件を見ると、CSFでやるべきことがまだなされていません。数年前のログを見て「攻撃されていたようでした」では、検知したことになりません。検知はリアルタイムでないと。日本企業はまだ理解が十分ではないと感じます。
本田:説明責任についてはどうでしょう。
西尾:事後に「私たちはこれだけセキュリティ製品を導入して“防御”していました」では足りません。これに加えて「(リアルタイムで)攻撃を検知し、このように対応したけど、これだけ被害が生じてしまいました」まで説明できないと、善管注意義務にあたらず善管注意義務違反と認定されてしまい、訴訟になれば負けてしまうことになりかねません。今後は今まで以上に説明責任の範囲が広がると考えていいでしょう。
