CISOへのセキュリティインシデント隠蔽圧力が高まる

CISOは、企業の評判への懸念が規制遵守よりも優先されることが多いため、セキュリティインシデントについて沈黙するよう圧力を受けるケースが増えている。

CISOの3分の2以上（69%）が漏えいを秘密にするよう指示されたと、Bitdefenderの最近の調査で明らかになった。この数字は、2年前の同様の調査で記録された42%から大きく増加している。

Bitdefenderのテクニカルソリューションディレクター、Martin Zugec氏はCSOに対し、サイバー犯罪者の手口の変化が、一部の漏えいが隠蔽される理由に直接影響している可能性があると語った。

「データを暗号化し公開を強要する従来型のランサムウェア攻撃は減少しています」とZugec氏。「その代わりに、攻撃者は混乱を起こさずにデータ窃取に注力するようになり、顧客や一般の目に触れにくくなっています。」

暗号化が使われる場合でも、多くはバックエンドインフラに限定されています。例えば、最近のRedCurlグループによる攻撃では、エンドユーザーに影響するシステムを避け、ハイパーバイザーを標的にしていました。

「この手法は公的な影響を最小限に抑え、非公開の交渉を可能にするため、CISOが情報開示を巡って受ける圧力がさらに高まっています」とZugec氏は述べた。

規制による圧力

CSOへの規制圧力は、EU一般データ保護規則（GDPR）や金融市場規制など、サイバーインシデントの迅速な開示を求めるデータ保護規則など、さまざまな要因から生じている。他にも、サイバーセキュリティ・レジリエンス法、DORA、NIS2など、規制の監視が強化されている。

CISOは、個人責任のリスクがあるにもかかわらず、コンプライアンス上の問題の報告を控えたり、過小評価するよう圧力を受けている。

サイバーセキュリティコンサルティング会社CyXcelのチーフリージョナルオフィサーで元CISOのBryan Marlatt氏は、セキュリティインシデントを過小評価するよう求められたため、前職を辞めたとCSOに語った。

「最近の雇用主では、CIOから監査委員会にリスクを共有しないよう、またSECのForm 10Kでセキュリティ能力を過大に記載するよう求められました」とMarlatt氏はCSOに語った。「これは、最近発生したビジネスメール詐欺の詳細を共有しないよう指示された後のことでした。」

Marlatt氏はさらに「CIOは退職まであと1年で、『波風を立てたくない』と主張していました」と付け加えた。

「私にとって誠実さはどんな金額よりも大切です。だから、妥協の詳細を共有せず、セキュリティ能力を誇張するよう求められたとき、前職を辞めました」と彼は語った。

セキュリティインシデントについて沈黙する「強い圧力」

CSOは、セキュリティインシデントの疑いについて沈黙するよう圧力を受けたと報告する他の2人の元CISOにも話を聞いた。両者とも、前職との契約終了時の機密保持契約のため匿名を希望した。

「ヨーロッパのフォーチュン・グローバル500企業で働いていたとき、これを何度も目撃しました」と元CISOの一人は説明した。「特に株主総会や四半期決算報告の前は、その圧力が非常に強かったです。」

同じ情報源は「すべてのインシデントはまずCIOを経由し、その後リーダーシップチームや取締役会、主にCFO（最高財務責任者）に報告されました。緊急性や規制上の期限に関係なくです」と語った。

「正当化の理由は常に同じでした。『これは必ずしもサイバーセキュリティインシデントではない』。最終的な開示の決定は一貫してCISOを関与させずに行われていました」と情報源は報告した。

元CISOは、実際に経験した匿名化された事例を挙げた：

• 自動車開発データの窃取： 約500GBの機密エンジニアリングデータや個人データが内部者によって盗まれ、ダークウェブで販売された。根本原因：ID・アクセス管理（IAM）の設定ミス。公表されず、「単なるデータ窃取でハッキングではない」とされた。
• セキュリティ責任者によるスーパー管理者権限の乱用： 上級セキュリティ担当者が管理者権限を乱用し、部下を脅したり、取締役や他の重要人物のアカウントにアクセスした。セキュリティオペレーションセンターが検知したが、「設定ミス」でありサイバー攻撃ではないとされた。
• 海外の金融子会社ハッキング： ハッカーが第三者の侵害と多要素認証の欠如を利用し、SAPのサプライヤー支払い約5,000万ユーロを迂回させた。現地EU法に該当しないとして公表されず。
• 管理者資格情報の窃取： CrowdStrikeが依然有効なスーパー管理者アカウントを検知。ログは消失。レッド/ブルーチームがIAMリセットを推奨したが、「直接的な被害が確認されなかった」として無視された。
• CISO贈収賄スキャンダル： ビッグファイブのプロバイダーが、世界グループCISOと直属2名に高額な旅行などの特典を贈り、世界規模の契約を獲得。証拠は無視され、CISOは密かに退職金付きで交代、チームには口外禁止が指示された。

別の元CISOは、雇用主が個人情報（メールアドレスや氏名、クレジットカード情報ではない）を含むデータ漏えいの疑いを知らされた事例を語った。

問題の原因が自社ではなく、サードパーティのウェブサイト開発者にあると判明した後でも、顧客データが関与していたにもかかわらず、「自社の問題ではない」として、ビジネス上の関係維持を理由に報告しないよう指示された。

板挟みのCISO

これらの状況は、CISOがしばしば置かれる不可能な立場を浮き彫りにしている。すなわち、法的にはセキュリティの責任を負いながらも、開示が企業利益と対立する場合には基準を無視するよう圧力を受ける。「ビジネス側は、この問題に本気で取り組む人間にとって何を意味するかを本当に理解していません」と最初の情報源はCSOに語り、困難な立場に直面し、沈黙するよう求められた要請に従ったと付け加えた。

「内部告発者に対する本当の保護、金銭的にも評判的にも、CISOや他のセキュリティ担当者にはありません」と情報源は述べた。

声を上げればキャリアは終わる。

「私の場合、確実にマークされたと思います」と情報源は説明した。「評価面談で、『トップに上り詰めたいなら“自分の基準やチーム”より“会社”にもっと従うべきだ』と言われました。その会話が、最終的に退職を決意した主な理由の一つです。」

CyXcelのMarlatt氏は、経営幹部が顧客やビジネスパートナーに影響が及ぶ可能性が高いにもかかわらず、インシデントが発生した事実自体を隠そうとすることが一般的だと付け加えた。

「コンサルタントとして、多くのCISOがインシデントの詳細や発生自体を共有しないよう求められた話を聞いてきました」とMarlatt氏。「ランサムウェアイベントの増加や、デジタルフォレンジックやインシデント対応のために外部を巻き込んだり、保険請求を行う必要性が高まる中、こうした重大なインシデントを隠すのはますます困難になっています。」

沈黙は金ではない

CM Lawのパートナー、Caroline Morgan氏は「社内で沈黙を求める圧力は現実に存在する」と認めつつ、規制当局は開示を期待するだけでなく、義務付けていると警告した。

「法的には、沈黙を守ることで企業は問題を回避するどころか、むしろ悪化させる可能性が高い」とMorgan氏。「支払う代償は壊滅的なものになりかねません。なぜなら、今や問題は漏えいだけでなく隠蔽にも及ぶからです。」

「規制当局は沈黙を非遵守のパターンとして利用し、重大な制裁を科すことができます」とMorgan氏は警告した。「ブランドの毀損、顧客信頼の喪失、さらには訴訟も影響の一部となり得ます。」

Morgan氏は続けて「最高情報セキュリティ責任者などが隠蔽を試み、それが発覚した場合、しばしばキャリアの終わりとなり、個人訴訟や規制当局からの罰金、さらには刑事告発のリスクもあります」と述べた。

これは決して理論上のリスクではない。元Uber最高セキュリティ責任者Joe Sullivan氏は、2016年のセキュリティ侵害の隠蔽で有罪判決を受け、執行猶予付きの判決を受けた。

インシデント対応

迅速な報告はデータ保護法の基本である。

「企業は、報告しないよう求める社内の圧力自体が脅威であると認識し、漏えい発生前にそれを最小化するための対策を講じることで、リスクを大幅に減らすことができます」とMorgan氏は助言した。

「企業は、透明性を促進する枠組みを持つ強固なインシデント対応計画を整備し、倫理的なインシデント対応や意思決定権限を商業部門から切り離すためのトレーニングを行うことで、社内圧力を最小限に抑えることができます」と彼女は述べた。