NTTコムが「サイバー攻撃の被害」公表前にした準備 顧客を傷つけず、社内の混乱を抑えた方策とは
サイバー攻撃を受けたら、企業はどうすればいいのか。状況を把握し、被害の最小化を図るだけでなく、「公表」についても方針を決めなくてはならない。そもそも公表するのか、公表するとしたらどこまで開示するのか、そのためにどんな準備をすればいいのか。 【ひと目でわかる図】NTTコミュニケーションズが2020年に相次いで2度受けたサイバー攻撃とは? 意外と定まっていないこれらの方針を決めるうえで参考になるのが、実際に被害を受け公表した事例だ。2020年5月にサイバー攻撃による被害を公表したNTTコミュニケーションズ 情報セキュリティ部部長の小山覚氏に、公表を決めた経緯と準備した内容、一連の被害体験で得た教訓まで詳しく聞いた。
■適切な広報のため想定Q&Aを何十問も作成 NTTコミュニケーションズがサイバー攻撃による被害を検知したのは、2020年5月7日。海外拠点のサーバーを通じて日本の社内サーバーに侵入され、一部の情報が流出した可能性があった。アクセス権限を持たない第三者が、サーバや情報システムの内部へ侵入する、いわゆる不正アクセスだ。 当初は、情報流出の可能性がある顧客のみに連絡をすることも検討していたと小山氏は明かす。
「ブランド毀損を懸念する声もあり、リスクマネジメント担当の弁護士に確認をしたところ、適切な対応をすれば広報する必要がないという見解も得ていたからだ。 しかし、同時並行で調査をしたところ、情報流出の可能性があるお客様は621社にのぼることがわかった。それだけの数のお客様に、短期間で適切な対応を行うのは困難と考えた」(小山氏、以下同) 各社に営業担当者はついているが、営業はセキュリティの専門家ではないため十分な説明ができないおそれがある。そうこうしているうちに、顧客側からサイバー攻撃を受けたことが漏れれば、そちらにメディアからの取材が押し寄せかねない。
だから、「お客様をできるだけ傷つけないよう、早急に弊社から発表すべき」という結論に至った。 「加えて、公表の際のルールも明確化した。例えば、影響範囲が大きい場合は、効率的にお客様対応を進めるためあえて報道発表を行うとか、メディアが察知してスクープ報道をする前に第1報としてニュースリリースを出すといったことだ」 同時に進めたのが、Q&Aの作成だ。広報班と連携し、メディア向けだけでなくNTTグループ向け、社員向けなど細かく作り込んでいった。
