インシデント0件は良いニュースとは限らない？ 報告の質をちょい上げするコツ：セキュリティ担当者の耳が痛いはなし

インシデント発生件数0件――多くの企業で「良いニュース」として受け止められる数字です。しかし、その結果を手放しで喜んでよいとは限りません。攻撃を防いだからゼロだったのか、そもそも見えていなかったのか。その違いは報告書からは見えません。見落としがちな“ゼロの意味”と、報告の質を高めるヒントを紹介します。

[伊藤秀明，＠IT]

　「今期もインシデントはゼロでした」と報告した直後、「ではなぜゼロだったのか」という問いを、自分自身に立てたことがあるでしょうか。対策が功を奏したのか、たまたま攻撃者の標的から外れていたのか。この2つは、見かけ上全く同じにもかかわらず報告書では区別されないまま、同じ「ゼロ」として扱われてしまいます。

　本連載では、セキュリティ担当者の“あえて聞きたくない話”にフォーカスし、担当者なら誰もが心のどこかで気付いていながら、あえて口にしてこなかった問題を一つずつ取り上げていきます。第1回となる本稿では、「インシデントゼロ」という報告が孕む見えにくい問題について考えていきます。

筆者紹介：伊藤秀明（AIセキュリティ株式会社　コンサルティング＆ソリューション事業統括本部 シニアマネージャー）

セキュリティ組織の構築、プロジェクト推進、SOC業務など、戦略的視点から技術的な実行まで幅広く手掛けるITシステムコンサルタント。通信、インターネットサービス、医療、メディアなど多様な業界での経験を生かし、業界特有の課題にも対応。クライアントのニーズに応じた柔軟なソリューションを提供し、セキュリティと業務効率の両立を実現するためのプロアクティブなアプローチを重視している。また、講演や執筆活動にも積極的に取り組み、専門知識や実務経験を生かして幅広い層にセキュリティやITシステムに関する知見を共有している。

「今期は問題なし」と報告するとき、何を根拠にしていますか

　年度末の経営報告でセキュリティ担当者がスライドに「今期のインシデント発生件数：0件」と記載し、「導入したEDR（Endpoint Detection and Response）やフィッシング訓練の効果が出ています」と説明します。経営層の反応は上々な空気のまま次の議題に移ります。このとき、どこか説明しきれない居心地の悪さを覚えたことはないでしょうか。

　EDRが本当に一件も検知しなかったのか、それとも検知はあったが深刻な被害には至らなかったのか。外部からの攻撃がそもそも来なかったのか、来たが気付かなかっただけなのか。「インシデント件数：0」という数字の裏にある「なぜゼロだったのか」は、詳しく確認されないまま報告書に記載されがちです。

　フィッシング訓練でも似たことが起きます。訓練メール開封率0％という結果は、フィッシングメールの耐性が高まったという解釈につながることがありますが、訓練メールには一定のパターンがあり、繰り返すうちに参加者が訓練特有の見分け方を身に付けてしまうことがあります。開封率0％と実際の攻撃を見抜けることは同じではありません。

　もう一つ、ログの話も見落としがちです。ログを定期的に確認していない現場での「インシデントなし」は、何も起きていないのではなく、見えていないだけの可能性があります。それでも報告書には「0件」と記載され、翌年の予算審議でも前年は問題なかったという実績として積み上がっていきます。

インシデントゼロ報告が毎年続くのが良いこととは限らない？

　これは担当者が意図して粉飾しているわけではなく、担当者や経営層も「なぜゼロだったのか」という問いを立てていないだけです。その背景には、幾つかの構造的な要因があります。

　そもそも、何も起きなかった理由を特定することは本質的に困難です。攻撃が来なかったのか、来たが防いだのか、来たが見えていなかっただけなのかは、十分なログ収集体制がなければ区別できません。

　報告する側や受け取る側も、好ましい物語を選ぶ力が自然に働くものです。「対策が効いた」という説明は努力が報われた話であり、担当者にとっても経営層にとっても受け入れやすい解釈です。「たまたま狙われなかっただけかもしれない」という説明は、報告の根拠を弱め、追加投資の必要性を自ら否定することにもつながります。どちらも根拠が曖昧な以上、組織の空気は自然と前者を選びます。

　その中でも難しいのが、比較対象がないということです。対策していなかったら何件インシデントが起きていたかという仮定は実証する方法がありません。この比較できない状況が、どんな結果も成功として解釈できる余地を生んでしまうのです。

　インシデントゼロという報告が毎年続くと、経営層は「セキュリティは問題ない」という判断に傾いてしまい、翌年の予算審議で「前年も何もなかったし、本年は少し削れるのでは」という議論が起きることは珍しくありません。担当者が誠実に報告したゼロが、翌年の予算削減の根拠として使われてしまうのです。問いを立てないままゼロを積み重ねることは、担当者自身の首を少しずつ締めていくことにもなります。

「ゼロ報告」の質を少しだけ上げるための一歩

　構造的な問題を一気には解決できませんが、報告に一つ小さな工夫をすることでインシデントゼロ報告の質を変えられます。

　最初にできることとして、ゼロの根拠を一行加えることです。「インシデント件数：0件」と書く際に、「EDRの検知ログを毎日確認。当期の不審な挙動：なし」「外部からの不正アクセス試行：3件を検知・遮断」のように、ゼロの裏付けを少しだけ加えてみるのです。ゼロに根拠が生まれた瞬間、報告の質が変わります。

　検知件数をインシデント件数と並べて報告することも有効です。インシデントがゼロでも、攻撃試行がゼロとは限りません。「フィッシングメール検知：月平均○件、うち従業員からの報告：○件」という数字が並ぶだけで、見えていたことの確認になります。

　経営層への説明時には、「今期は問題なし」という結論の前に、想定されていた脅威の状況を一行置くことも効果があります。「当期、同業他社でランサムウェア被害が複数報告された。自社では▲▲の対策を実施しており、類似の侵入経路への対応は完了している」という文章を加えます。「なぜゼロだったのか」を言葉にできれば、何もなかったから問題なしという思い込みから一歩先に進むきっかけになります。同業他社の被害動向は、IPAや警察庁が定期的に公開しているレポートから無料で把握できます。

「対策が効いた」と自信を持って言えることが、本当のゴール

　インシデントがゼロだったことと対策が機能していたことは、同じことではありません。私たちはこの2つを、何となく同じものとして扱ったまま報告を積み重ねてきました。

　「たまたまかもしれない」という問いは担当者を責めているのではなく、むしろその問いを立てることが「対策が効いた」と自信を持って言える状態への出発点です。そして問いを立て続けた担当者は、いざインシデントが起きたときにも、経営層への報告や初動の判断に根拠を持って臨めます。

　ゼロ報告に根拠を添える一行、検知件数を並べる工夫、脅威の文脈を置く一文。次の報告書を書く際に、このうちのどれか一つを試してみてはどうでしょうか。