セキュリティインシデント対応

1.検知・連絡受付

 

(1)自己検知

 ・CSIRT、SOC(社内/社外)、MSS

 ・経済産業省「情報セキュリティサービス基準」のセキュリティ監視・運用サービス

 ・アンチウィルスソフト等

 

(2)第三者・セキュリティ関係機関等からの連絡  

 ・一般社団法人JPCERTコーディネーションセンター

 

2.トリアージ

 

(1)CSIRTにおいて事実関係を確認

 

(2)インシデントの評価(対応すべきか否か、優先順位など)

 

3.対応

 

(1)原因究明

 

(2)影響範囲の特定

 

(3)証拠保全、フォレンジック調査

 

(4)被害拡大防止措置

 

(5)対外対応(当局、被害者、メディア)

 ア 個人情報保護法 個人データの漏洩またはそのおそれ 2022年4月以降は義務化

 イ 各種業法に基づく報告 例:電気通信事業法

 ウ 秘密保持契約(NDA)

 エ 共有と公表の使い分け

   例:他の被害者を出したくない→公的機関へ情報を共有し、当該機関が第三者に情報提供すれば足りる。

 オ 公表のメリット・デメリット

  ・ 攻撃者の潜伏リスク

  ・ 影響範囲不特定による二次被害のリスク

  ・ 標的型ランサム攻撃によるリークサイトの存在により生じるリスク

  ・ 第三者により明らかにされている場合のレピュテーションリスク

カ ログを調査して公表の要否を検討する。

キ 経過報告の検討

 

(6)再発防止策

情報セキュリティ10大脅威 2021

情報処理推進機構(IPA)の情報セキュリティ10大脅威 2021より

 

 

※ 情報セキュリティ10大脅威2021 解説書(情報処理推進機構(IPA)より)

https://www.ipa.go.jp/files/000088835.pdf

 

個人(括弧内は昨年順位)

1位 スマホ決済の不正利用(1位)

2位 フィッシングによる個人情報等の詐取(2位)

3位 ネット上の誹謗・中傷・デマ(7位)

4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求(5位)

5位 クレジットカード情報の不正利用(3位)

6位 インターネットバンキングの不正利用(4位)

7位 インターネット上のサービスからの個人情報の窃取(10位)

8位 偽警告によるインターネット詐欺(9位)

9位 不正アプリによるスマートフォン利用者への被害(6位)

10位 インターネット上のサービスへの不正ログイン(8位)

 

組織

1位 ランサムウェアによる被害(5位)

2位 標的型攻撃による機密情報の窃取(1位)

3位 テレワーク等のニューノーマルな働き方を狙った攻撃(NEW)

4位 サプライチェーンの弱点を悪用した攻撃(4位)

5位 ビジネスメール詐欺による金銭被害(3位)

6位 内部不正による情報漏えい(2位)

7位 予期せぬIT基盤の障害に伴う業務停止(6位)

8位 インターネット上のサービスへの不正ログイン(16位)

9位 不注意による情報漏えい等の被害(7位)

10位 脆弱性対策情報の公開に伴う悪用増加(14位)

 

電子契約を導入するか否か

 

【問題】電子契約は利用したほうがよいか?

 

【結論】リスクはあるが、利便性を重視すれば、取引金額が低い取引などの契約書については利用を検討する余地がある。

ただし、仮に電子契約を導入する場合は、社内規程の整備から契約書の規定内容まで、電子契約に対応したものに変更したほうがよい。

 

 電子契約を導入するメリットとしては次の事項が考えられる。

・  印紙代削減

・  印刷、押印、封筒作成、封入、郵送などの手間及びコスト削減

・  契約締結までの時間短縮

・  契約書の保管コストの削減

・  契約期限管理の効率UP

・  検索性UP

・  監査の効率UP(契約書等のデータベースで監査しやすくなる。隠蔽工作がしにくくなる。)

・  BCPへの寄与(契約書原本の消失回避)

 

 他方、電子契約の形式的証拠力(文書が挙証者の主張する特定人の思想表明として作成されたと認められること)については、書面による契約のそれと比べて低いといえる。

 電子署名を利用した電子契約の場合については、二段の推定の一段目の推定が及ぶ保証がなく(別記事参照)、その他の電子契約については一段目及び二段目の推定のいずれも及ぶ保証がない。

 二段の推定が及ばないことは、弁護士としては、電子契約を勧めることにとまどいを覚える。

 

 しかし、上記のメリットと比較して、形式的証拠力に関する多少のリスクを負ってでも、一部の取引について電子契約を導入する余地はあると考えられる。

 たとえば、取引金額が低い取引や、基本契約を締結済みの個別契約にかかる取引などでは、業務の効率を重視して、電子契約を導入するという経営判断もあり得る。

 取引金額を基準とする場合はいくら以上の取引について電子契約を利用するかが問題になるが、決裁規程などを参考に、部長決裁で締結できる取引には電子契約を利用することができるようにし、社長決裁を要する取引については書面による契約のままとすることが考えられる。

 また、基本契約を締結済みの場合は、個別契約の成立の真正が争われる可能性は低いと考えられるため、個別契約についてのみ電子契約を利用することが考えられる。

 

 仮に電子契約を導入する場合は、書面による契約を前提とした従来の文書管理規程や印章管理規程などを電子契約に対応できるものに変更したり、二段の推定が及ばないことを担保するために契約書に権限確認規定(電磁的に契約を締結した者に契約締結権限があることを表明保証させる規定など)を設けたりするなどの対応は行ったほうがよい。