サイバー攻撃への備え ― 計画的な危機対応コミュニケーション

Gorodenkoff – shutterstock.com

サイバー攻撃は、CISO（最高情報セキュリティ責任者）にとって予防や危機対応の面で大きな課題となるだけでなく、企業広報部門も関与が求められます。広報部門はCISOと共に危機対応コミュニケーション計画を策定し、サイバーセキュリティインシデント発生時に実行します。

効果的な危機予防は、コミュニケーションの観点から3つの要素があり、危機発生後に始まるものではありません。以下の施策は、基本的に企業広報（UK）の一部であるべきです。

• 危機対応コミュニケーション計画は、あらゆる危機シナリオに最適に備えるものです。明確な行動・コミュニケーションルール、事前に用意されたコンテンツ、安全なコミュニケーションチャネルやツールが含まれます。
• インターネットモニタリングにより、危機がソーシャルネットワークやメディアでどのように受け止められているかを把握できます。風評被害となる投稿を早期に発見し、対策を講じることができます。
• 日常業務での良好なコミュニケーション活動は、オピニオンリーダーとの関係を築きます。危機時には、こうした良好な関係や強い立場が役立ちます。

一貫した対外発信

一貫したコミュニケーションと、危機時の迅速な対応を保証するには、明確なコミュニケーション責任体制が不可欠です。危機時の企業行動全体の責任は経営陣にありますが、危機対応コミュニケーションの責任は広報部門に置く必要があります。

緊急対策本部の設置

危機対応コミュニケーション緊急対策本部（KKN）には、実際にコミュニケーションの意思決定に関与する責任者のみが参加します。この組織は階層ではなく、役割に基づいて構成されます。

同時に、拡大危機対応コミュニケーション緊急対策本部（eKKN）が設置されます。こちらには全社の各部門のメンバーが所属し、組織全体に状況を伝える役割を担います。

危機対策本部のリーダーシップ

危機対応コミュニケーションに加え、実際の危機対応では技術的な対策の調整が最重要となります。サイバー攻撃の場合、IT部門が責任を持ちます。そのため、広報部門とIT部門のメンバーが共同でKKNを率います。

KKNの主な役割は、コミュニケーション施策の展開と外部報道の監視です。危機対策本部は、施策や内容の調整についても決定します。

理論から実践へ

危機対応コミュニケーションの計画には多くの実務的側面があります。例えば、危機対策本部のライブ会議をどの部屋で行うか、オンライン会議をどう開催するかなどを定めます。

サイバー危機の場合、Eメール、チャット、固定電話やIP電話などのコミュニケーションツールが利用できない可能性も常に考慮しなければなりません。

緊急時インフラの早期構築

ITネットワークが利用できない、または安全上の理由で遮断される可能性も考慮が必要です。危機対策本部のすべての準備資料や連絡先リストは、社内ITネットワークにアクセスできなくても必ず利用できるようにしておく必要があります。

チームメンバーには、企業ITとは独立して機能するEメールアカウントを利用させる必要があります。広報部門の責任者は、危機時の代替コミュニケーションインフラを構築する際、必ずデータ保護と情報セキュリティに配慮しなければなりません。

ダークサイトで情報発信

企業はどこから緊急時のコミュニケーションを始めるべきでしょうか？ITが機能せず、ウェブサイトもアクセスできない状況を想定します。その場合、ダークサイトを公開します。

ダークサイトは、危機時に顧客・パートナー・一般向けの最重要情報を掲載するために準備されたウェブページです。ホームページのURLは、プロバイダーを通じてこのダークサイトに転送されます。

継続的な情報発信が信頼を強化

ダークサイトでは、危機やその対応状況に関する最新情報や、被害者・メディア・パートナー向けの連絡先を随時公開できます。KKN内で誰がダークサイトの編集を担当するか、事前に決めておく必要があります。

ダークサイトの準備は強く推奨されます。なぜなら、ウェブサイトはサイバー犯罪者にとって格好の標的であり、攻撃の成功を示す場となるからです。

段階的なコミュニケーション

良好な対外コミュニケーションの鍵は、メディアやSNSユーザーに一元的に情報を提供することです。そのため、広報経験のある広報部門の特定の担当者のみがメディア対応することを明確にしておく必要があります。

全ての部門が、メディア対応の担当者を把握していることが重要です。危機時の広報活動は、基本的に段階的に行われます。

声明文の準備

危機発生直後には、事前に用意した声明文をすぐに提供できるようにします。この声明文は、事件の詳細には触れられませんが、オープンなコミュニケーションへの姿勢を示すものです。

多くのサイバーインシデントは同じパターンで発生するため、文書はあらかじめ準備できます。危機の規模が社内で明確になるほど、最初の声明文も具体的に作成できます。

最初の積極的な説明

危機の原因や規模が特定でき次第、主要メッセージを含む積極的な情報発信を行います。よくあるサイバー攻撃のパターンは分かっているため、このプレスリリースも事前に準備可能です。

必要に応じて、事件の理解を助けたり、評判を守ったり、被害者向けの追加情報を含めることもできます。

広報活動のための代替ツール

積極的なコミュニケーション時には、メディア連絡先リストやプレスリリース配信ツールなどの社内システムが利用できなくなることを考慮する必要があります。クラウドソリューションはこの問題を解決でき、日常業務でも利用可能です。

最も重要なデータ、例えば危機対策本部メンバーや主要な外部緊急連絡先のプライベートメールアドレスや携帯番号などは、世界で最も安全な媒体、すなわち紙にも必ず保存しておきましょう！

状況に応じた継続的な情報発信

2回目のプレスリリースは、事件の追加情報や危機対応戦略の説明、被害者向けの案内とともに速やかに発表します。危機の進行状況に応じて、さらに追加のプレスリリースを出します。

オプションの第4段階では、コミュニケーションを通じて信頼構築を図ることができます。経営陣や専門チームのメンバーが、危機をどのように乗り越えたかを共同で報告することができます。

コミュニケーションマニュアル ― 危機時のリファレンス

危機対応コミュニケーションマニュアルは、緊急時対応マニュアルの一部です。緊急時対応マニュアルは、危機対応のあらゆる側面をカバーします。危機の影響を受ける可能性のある各部門ごとに章を追加できます。さらに、組織の一般的な危機管理に関する資料も含めるべきです。

危機対応コミュニケーションマニュアルには、例えば以下の要素が含まれます：

• 危機の定義
• 責任範囲の定義
• 危機対策本部メンバーリスト（プライベートメールアドレス・電話番号含む全連絡先）
• 委員会の役割説明
• プロセスの定義
• 危機時に使用する全コミュニケーションチャネルの定義（ターゲットグループごと）
• 危機時の全コミュニケーションツールの定義
• スポークスパーソンの役割定義
• フローチャート（危機発生から終息まで）
• コミュニケーション文化の説明
• 定型文書

国のガイドライン・テンプレート

ドイツ連邦情報セキュリティ庁（BSI）は、緊急時対応マニュアルの作成を以前から推奨しており、内容に関する具体的なアドバイスも提供しています。

危機対応コミュニケーションは、常に緊急時対応マニュアルの一部であるべきです。技術的に復旧しても、顧客やパートナーがコミュニケーション不足で離れてしまっては意味がありません。経験上、危機対応コミュニケーションマニュアルは、経営陣・広報部門・IT部門・セキュリティ専門家・関係部門が連携して策定する必要があります。

毎年実施 ― 実地訓練

防火訓練と同様に、サイバー攻撃による危機対応コミュニケーションも毎年訓練します。危機宣言から最終報告書までを通して、施策が機能しているか、組織が機能しているか、プロセスが計画通り進むか、テンプレートが有効かを確認します。（jm）

関連記事：テーブルトップ演習の進め方