サイバーセキュリティーの専門家は、問題はサイバー攻撃の標的になるかどうかではなく、いつ標的になるかであると組織に伝えています。多くの場合、対応準備の焦点は技術的な側面、つまり侵害の進行を阻止し、データを回復してビジネスをオンラインに戻すことにあります。これらのタスクは欠かせないものですが、多くの組織は対応準備の要である「危機コミュニケーション」を見落としています。
ブランドの評判は大きな打撃を受けることが多いため、サイバー攻撃は企業の将来的な成功と収益に重大な影響を及ぼす可能性があります。ただし、効果的な危機コミュニケーションは、企業の回復力と問題管理能力に対する顧客の信頼を高めるのに役立ちます。インシデント発生前に危機コミュニケーションの準備を整え、強固な計画に従うことで、組織を嵐のような危機から救うことができます。
危機コミュニケーション成功への道のりは、サイバーセキュリティー・インシデントが発生するかなり前から始まっています。サイバーセキュリティー危機コミュニケーションを全体的な災害復旧計画の一部として組み込む企業もあれば、独立した計画を立てている企業もあります。
Melanie Ensign氏は、セキュリティー、プライバシー、リスク・チームを対象とした多分野にわたるコミュニケーション・センター・オブ・エクセレンスであるDiscernible社の創設者兼CEO（最高経営責任者）です。Ensign氏は、多くの企業は問題が発生するまでセキュリティー対策を怠り、後に望ましくない環境下で、疑わしい点を有利に解釈しようとしていると指摘します。
「クライアントと仕事をするとき、『もし明日何か問題が発生したら、何と言いたいですか？このインシデントについて、現実にこうあってほしいと願い、言えるようになりたいと望むことは何ですか？』と尋ねることにしています」とEnsign氏は述べています。「そうすると、クライアントは企業としてどのように自社を見せたいか、どのような価値観や特徴を表現したいかを伝えてくれます。私たちは、ここで語られたことすべてを現実化すべく尽力します。なぜなら、私たちは現実で実現し得ないことを語れないからです。」
ここでは、危機の適切な管理に必要な基盤を構築するための3つの鍵をご紹介します。
攻撃が発生した場合に、組織全体で協力し、すべてのコミュニケーションの管理を担う従業員チームを編成します。これにより、コミュニケーションが漏れないようにし、誤情報の拡散を減らすことができます。法務、サイバーセキュリティー、総務、広報など、サイバー対応に関与する組織全体のメンバーで構成されるチームを作ります。
委員会が設置された後、最初の優先事項の1つは、すべてのタスクを詳細に説明し、サイバーセキュリティー・インシデント発生後のすべてのコミュニケーションの責任者を決定することです。Ensign氏は、主要な意思決定者である経営陣全員の同意を事前に得ることが重要だと語ります。そうしないと、インシデント発生時に不安を感じた経営陣が独自の計画を立ててしまう可能性が高くなるためです。また、攻撃の発生時に主要な意思決定者が不在の場合は、別のリーダーが簡単にその役割を担うようにするためのプレイブックを提供する計画が不可欠であるとも述べています。
サイバー攻撃には、ランサムウェアからデータ侵害まで、さまざまな手法が含まれるため、計画ではできるだけ多くのシナリオを特定し、各シナリオに適切なドラフトを詳細に記載する必要があります。この計画には、Eメール、ウェブサイト、ソーシャル・メディアなど、使用するチャネルだけでなく、他部門とのコミュニケーション・ポイントも含めなければなりません。
「計画をすでに保有し、その計画に従っていたことを規制当局に証明する必要があります。場合によっては、計画から逸脱する必要が生じるかもしれません。計画が想定と一致せず、計画を微調整する必要があったインシデントを通じて、私たちは物事を学びます。計画は、こうしたすべての逸脱を正当化することにも役立ちます」とEnsign氏は述べます。
多くの組織は技術チームと共にサイバー攻撃への対応を予行演習していますが、シミュレーションの一部として危機コミュニケーションも含める必要があります。実際の攻撃は組織内の全員だけでなく外部の利害関係者にとっても大きなストレスとなるため、対応を練習することで緊張や不安、潜在的なエラーを軽減できます。
サイバーセキュリティー攻撃が特定されたら、危機コミュニケーション計画を実行に移します。実際の状況は計画とは異なることが多く、感情も高ぶっているため、各ステップを通じて次の点を念頭に置くことが重要です。
コミュニケーションが早ければ早いほど、噂や憶測は少なくなります。攻撃とその影響に関する基本情報を入手したらすぐに、何が起こったか、業務プロセスにどのような変更があったかを明確に説明する最初の声明を共有します。攻撃が従業員または企業の不備によるものであった場合、その責任を負います。ソーシャル・メディアや専用のウェブページなどを通じて、企業の最新情報を伝達する手段や今後の更新スケジュールを説明します。最初のコミュニケーションには、パスワードの変更やアカウントの監視など、影響を受ける可能性のある人々が実行すべき手順も含める必要があります。
影響を受ける顧客には、ホットラインや専用のEメールアドレスなど、個別の状況に応じて追加情報を取得する方法を伝達します。これらのチャネルを継続的に監視し、質問に迅速に対応できるようにします。直近のChange Healthcare社のデータ侵害インシデントを受け、同社はホットラインも備えた情報専用のウェブサイトを立ち上げました。
サイバー攻撃は状況が常に変化し続けるため、影響を受ける関係者全員と定期的に連絡を取り合うことで信頼を再構築できます。最新情報を提供することで、状況を真剣に受け止め、対策を講じていることを顧客に知らせることができます。Change Healthcare社は、すべてのビジネスの稼働状況とそれぞれの予想復旧日を示す詳細なウェブページを作成し、復旧中はそこで最新情報を毎日更新しました。
「インシデントの影響を受けた顧客や人々は、メディアよりもはるかに長期的にそのインシデントに関心を持つでしょう」とEnsign氏は述べます。「メディアで取り上げられなくなったからといって、コミュニケーションが重要でなくなったわけではありません。」
攻撃を受けた後、SolarWinds社は元FacebookおよびYahooのセキュリティー責任者で現在はスタンフォード大学教授のAlex Stamos氏と、サイバーセキュリティーおよびインフラストラクチャー・セキュリティ庁（CISA）の元長官のChris Krebs氏をSolarWinds社の復旧のための独立コンサルタントとして迎え、組織の将来的なサイバーセキュリティーに対する信頼性を高めました。SolarWinds社はまた、今後のリスクを軽減するためにセキュリティー・レイヤーに大幅な変更を加え、その内容を一般に公開しました。
サイバー攻撃には未知の要素が多く、複雑な状況に置かれています。強固な計画を策定し、コミュニケーションを管理するチームを設置することで、特定の状況に基づいて簡単に変更を加えることができます。効果的な危機コミュニケーションにより、企業は危機対応とコミュニケーションに基づいて顧客からの信頼をさらに高めながら、サイバー攻撃を乗り越えることができます。
「問題が発生する前に、すべてのコミュニケーション計画、プログラム、アセット、資料、関係性を整えておくことが重要です」とEnsign氏は述べます。「問題が発生したとしても、私たち全員がその日がやってくることを認識しているため、準備してきたものすべてを自由に利用でき、実際に望んだ方法で対処することができます。」
