「とくにメディア向けでは、できるだけ幅広くシミュレーションをして、いわゆる“更問い”も想定したQ＆Aを何十問も作った。どれをどこまで伝えるかを細かく決め、内容によっては情報を出し過ぎず、でも足らな過ぎないよう気を配った」 ■BCP発動レベルの態勢で全社を統制 　そうやって準備を進め、ニュースリリースを出したのが5月28日。社員に伝えたのはその前日だったが、さらにその前日にとんでもないことが発覚した。

　別の不正アクセスが検知されたのである。社員になりすましてリモート環境からBYOD端末で侵入してきたという。 　「即日、全社員のIDとパスワードをリセットしたので、社員が仕事をしようとパソコンを開いても使えなかった。ようやく使えるようになったら、サイバー攻撃による被害を受けたことを聞かされる。『うちの会社は大丈夫なのか』『まだ攻撃がつづいているのでは』という不安が一気に社内へ広がった」 　大きな混乱につながりかねない状況だが、そうならなかったのは「最大規模の危機管理態勢」をとっていたからだ。コロナ禍に突入し、最初の非常事態宣言が発令されたのが1カ月前の4月7日。それに合わせてBCPを発動していたのが不幸中の幸いだった。

　「その態勢を活用させてくださいと社長にお願いした。おかげで、社員も最高レベルの非常事態だと理解しやすくなり、全社の統制を取ることができた」 　最大規模の危機管理態勢での取り組みとあって、トップを巻き込みながら1つひとつの取り組みを決定していったのも、全社統制につながった。小山氏も連日にわたり情報セキュリティ担当役員(CISO)や社長と協議を重ねたという。 ■「撤去前設備の管理の甘さ」が大きな教訓 　NTTコミュニケーションズは、この件でニュースリリースを2回出している。いずれも原因を具体的に伝えているのが特徴だ。

　「広く具体的に伝わらないと、セキュリティ対策に寄与できないと考えた。実際に被害を受けると、長年セキュリティに従事している私ですら相当の衝撃を受ける。 　逆に、被害を受けていない人が、そこまでセキュリティ対策の必要性を感じないのは当然だと思うようになった。一人でも多くの方にセキュリティ対策の必要性を感じてもらえるよう、できるだけ具体的にお伝えした」 　だから、サイバー攻撃を受けて得た教訓も、できるだけ広く伝えるようにしているという。前述のニュースリリースを出す直前に検知した被害も、その1つだ。