攻撃の高度化により、攻撃者や攻撃意図、被害状況の把握がますます難しくなっているサイバーリスク。リスク対応の基本である〝早めに報告する〞ことが必ずしもベストとは言い切れない事態は、広報にとって厄介だ。
どんな企業にも身近な危険があるインシデントにスムーズに対応するため、広報はどのように備えておくべきか。専門家の意見をまとめた。
―17日、ヤフーは最大2200万件にのぼるID情報を抜き取られた可能性があると発表した。4月にも不正アクセスによる攻撃を受けたばかりだ。米国では先日、AP通信が不正アクセスにより「オバマ大統領のケガ」を報道し、話題になった。
個人情報を扱う企業や報道機関への攻撃は、なぜ頻発するのか。広報会議6月号の巻頭レポートでは、高度化するサイバー攻撃の実態について取り上げました。アドタイでは、3回にわたってご紹介します。
【バックナンバー】
・1回目 人間心理を巧みに利用。高度化するサイバー攻撃の手法(2013/5/23)
・2回目 不正な攻撃の被害者であっても、情報流出は企業価値を毀損する(2013/5/27)
【関連記事】
白井 邦芳「CSR視点で広報を考える」
・facebook今さらながらひっかかってしまうなりすまし手口(2013/5/23)
自社が持つ情報の重要度を見極める
専門家の多くは、必ず実施しておいてほしい項目として、企業や組織内にある「情報の精査」を挙げる。「自社が持っている最も重要な情報は何であるのか。それが外部に漏れた時、どのようなインパクトが想定されるのか。情報セキュリティ対策を、本業のビジネスと切り離さずに考えることが重要」とIPA研究員の大森氏は話す。
製造業であれば、特許などに関わる技術情報が流出すれば、やがて模倣品がつくられ、徐々に市場を奪われていく危険性がある。情報の精査後、流出した情報の種類によってどのような対応をどのような順序で行うのか、インシデント発生時の綿密なシミュレーションも欠かせない。
たとえば、個人情報が漏えいした場合には、その事実を公表しなければならないことが多い。特に、クレジットカード情報などセンシティブなデータは早急に対応することが必要になる。
一方、自社の製品情報などは法律上の公表は義務付けられていない。とはいえ、製品情報や取引情報は自社だけのものではないことも多い。個人情報にしろ、そうではないにしろ、「漏れた(もしくは漏れた疑いのある)情報の関係者に2次被害の発生が予想されるものであるのか。その影響を過大評価するのもよくないが、過小評価しないことも大事」(大森氏)だ。
サイバー攻撃においては、被害状況の把握に数日から数週間、原因の判明および復旧に数週間から数カ月かかることも珍しくない。どのタイミングで、誰にどこまでその事実を伝えるかを想定しておくことで、不用意な混乱は防げる。場当たり的な対応は混乱のもとになる。「先に監督官庁への届け出を済ませ、2次被害が出る可能性のある取引先など関係者に知らせ、その上でマスコミなどへのリリースや記者発表のタイミングを図った方が混乱を招かないこともあります」(トーマツ・丸山氏)。
インシデント発生時には、迅速な初動対応が求められる。この対応は、①被害発生の確認(サーバーに侵入されたことを確認したなど)②被害状況の確認(サーバーからどの情報がどのくらい漏えいしたのかなど)③原因の特定と対策(何が原因だったか、それに対してどのような対策を行ったかなど)の3段階に分けられプレスリリースのタイミングは③の段階で被害の拡散が止まったことを確認して行うのが一般的だ。
