サインドが公表した「不正アクセスの検知」「情報漏えいの可能性」は、原因や影響範囲が未確定な段階での典型的な表現です。断定を避けるのは誤報リスクを下げ、調査の確度を優先するためです。一方で、開示を早めること自体が説明責任の一部であり、情シスとしては「確定事項/調査中」を明確に切り分けたうえで、更新計画と社内外の合意形成を用意します。公表文の整合性は、後続の通知・補償・監督官庁対応にも波及します。
最初の数時間は、被害拡大防止と証拠保全のバランスが成否を分けます。安易なサーバ停止やログ削除は、攻撃者の痕跡を消すだけでなく、復旧と説明可能性を損ないます。実務では、侵害端末の隔離、攻撃経路の遮断、ID・トークンの失効を行いながら、ディスク/メモリ、クラウドのスナップショット、監査ログを保全します。NTP同期と時系列整合、ハッシュ付与、アクセス権最小化まで含めて「改ざん耐性のある保全」を徹底します。
評価の要点は「侵入の有無」ではなく、「どの権限で、どのデータに、どの操作が行われたか」を立証することです。DBアクセス痕跡だけでは持ち出し確定にならず、外向き通信、圧縮ファイル生成、異常帯域、アップロード先の不審性など複数の根拠を突き合わせます。二重脅迫型のように窃取と暗号化が併存する前提で、暗号化の有無だけで安全判断しないことも重要です。
顧客・取引先への通知では技術詳細より、影響範囲(情報種別)、確度(確定/調査中)、利用者が取るべき対策(パスワード変更、MFA、フィッシング注意)、問い合わせ導線を優先します。認証情報の可能性がある場合は、使い回しによる水平被害も想定し、確定情報が少なくても注意喚起を先行させる判断が求められます。広報・法務・CSとSIRT/CSIRTの役割分担を事前に決め、メッセージの一貫性を保ちます。
再発防止は侵入経路を塞ぐだけでなく、再侵入と検知遅れを防ぐ体制づくりが本丸です。ID起点の侵害が多いため、全社MFA、条件付きアクセス、特権ID分離、APIキー/Secretsのローテーションと保管を優先します。脆弱性管理はSLAを伴う運用に落とし込み、外部公開資産の棚卸し、SBOM把握、CI/CDでの検査、クラウド設定監査を組み合わせます。
加えて、SIEM等でのログ集中、クラウド監査ログの長期保存、EDRの全社展開、アラートのチューニング、机上訓練やPurple Teamで初動品質を平時から底上げします。バックアップはオフライン/イミュータブルを含む多重化と復旧テストを前提にし、RTO/RPOに基づく復旧順位を明確化します。第一報は終点ではなく、信頼回復プロセスの起点として、技術・運用・説明の三位一体で備えることが重要です。
