ほぼ死語になりつつある「花金」。しかし、セキュリティ関係者の中では悲劇の金曜日となることがしばしばある。そう、いわゆる緊急対応支援のことだ。セキュリティ関連の一部の書籍にある「金曜日の夜に緊急呼び出しが多い」といった解説はあながち間違いではない。そんな連絡を受けると、つい「今からですか。著名なセキュリティベンダーさんを紹介するので、そちらへ……」などと口を突いてしまいそうになる。

その理由は、私が飲み歩きたいからではない。連絡をしてきたクライアントが期待しているほど、すぐにはインシデント（事業運営に影響を与える致命的なセキュリティトラブル）は片付かない。数分で解析が終わるケースがあるのも事実だが、それは軽微なトラブルの場合だ。

インシデントの解決には時間がかかる。その理由は、いくつかある。まず被害組織が小さな傷口を大きくしてしまうケースがある。たとえば、「調査時に感染されたら申し訳ないので、パソコンのハードディスクはフォーマットしておきました！」なんてことをキラキラした目で報告されることがある。これはよくある話だ。

そこで、本稿ではセキュリティイベント（軽傷）がインシデント（致命傷）になる前に、一度振り返ってもらいたい点を紹介したいと思う。

サイバー攻撃の引き金は？

1. インシデント化するまでのステップ

大手旅行会社、政府関連機関、教育機関などから個人情報が流出した事件は記憶に新しい。日本だけに限らず、サイバー攻撃による政府機関や有名企業からの情報窃取のニュースは後を絶たない。8月に開催されたリオ五輪ではドーピング問題が発端でサイバー攻撃が多発し、関係者の個人情報が漏えいした。

アジア諸国に関しては、南シナ海の国際司法の判決を不服とし、中国のハクティビスト（社会的な理由でサイバー攻撃を行う人々）がベトナムの航空会社に対して攻撃を行っている。この事案では約41万人分の旅客データが窃取および公表された。私が確認したかぎりでは、日本人の個人情報も約1万3000人分含まれていた。