セキュリティ担当者、必見 善意の情報公開が裏目に出た“痛恨の教訓”：SolarWinds元CISOが語る司法リスクと対策

大規模なサプライチェーン攻撃を受けたSolarWindsのCISOを待ち受けていたのは、当局による「詐欺罪」での起訴だった。信頼回復のための情報公開が、なぜわなになったのか。

[Sharon Shea，TechTarget]

　2020年、ソフトウェアサプライチェーン攻撃を受けた監視ツールベンダーSolarWinds。ロシアのサイバー犯罪集団「Nobelium」が同社のソフトウェアアップデートに不正コードを仕込み、それがユーザー企業に配布された。数千社の企業が攻撃の影響を受けたとみられる。この事件は、大規模なサプライチェーン攻撃と広く認識され、SEC（米国証券取引委員会）により調査された。

　当時、SolarWindsのCISO（最高情報セキュリティ責任者）を務めていたのは、ティム・ブラウン氏だ。2023年10月、SolarWindsと同氏はセキュリティリスク管理と内部統制の欠落で投資家を誤導したとして、詐欺罪で起訴された。訴えは最終的に取り下げられたが、ブラウン氏はCISOとしてのコミュニケーションについて「大きな教訓」を得たという。その教訓とはどのようなものなのか。

「継続的改善」という言葉が“過失の証拠”に？

併せて読みたいお薦め記事

CISOとして「生き残る」には

• 「技術の話はもういい」と突き放されるCISO、生き残るための“MBA”習得術
• 「名ばかり役員」CISOの末路　権限はあるが人がいない“52％の絶望”

　2020年の攻撃後、ブラウン氏はその詳細についてさまざまな情報を公開した。同氏は現在、ベンチャーキャピタルTeam8のCISOを務めている。同氏は当時の情報公開について、「今から考えればしないほうがよかった」と振り返る。しかし当時は、攻撃が大きな注目を集めることもあって、SolarWindsの信頼回復のために積極的な情報公開が重要だとみていたという。

　しかし、さまざまな情報が公に出たことがSECの調査の要因となり、最終的に起訴につながった。調査の最初の年、SECはSolarWindsのコミュニケーション記録を収集し、ブラウン氏には電話からの情報、メッセージングサービス「WhatsApp」や「Signal」のメッセージの提供を求めた。

　ブラウン氏によると、SECから同氏のコミュニケーションにおいて特に問題視されたのは、社内メールで「継続的改善」（continuous improvement）という言葉が使われていたことだ。継続的改善はIT業界でよく使用されるフレーズだが、SECは誤解を招きやすい表現だとして、その具体策に疑問を持ったという。

　さらにSECは、SolarWindsがなぜ何年も同じアイデンティティー保護施策を講じていたかを尋ねた。ブラウン氏は、同じアイデンティティー保護施策を継続的に講じるのは、珍しいことではないと強調する。「通常の運用手順が、SECの視点からは過失と見なされた」と同氏は述べる。

ブラウン氏の教訓

　ブラウン氏が自身の経験から得た教訓は、社内コミュニケーションにおける発言が「自分に不利に使われる可能性がある」（同氏）ということだ。そのため、CISOは自分の発言について細心の注意を払う必要があると同氏は説明する。自分が何をどう言うかを意識すれば、自分の発言をコントロールし、不利に使われることを防げるという。ブラウン氏の具体的なアドバイスは以下の通りだ。

• 明確なコミュニケーションポリシーを設ける
  • 攻撃を受けた際の適切な行動やコミュニケーションを文書化し、CEOからの承認を得る。違反の場合の罰則を定義する。
• ポリシーを実行する
  • 全ての従業員に対してポリシーを詳細に説明し、従業員がポリシーを理解するようにする。
• 規制をよく知る
  • プライバシーやデータ保護の規制を熟知し、必ずそれに従う。
• 自己報告を奨励する
  • 社内外のコミュニケーションチャネルに匿名報告機能を設ける。
• 内部チャネルを監視する
  • メールやコラボレーションツールを含む全てのチャネルを監視する。