自分たちの組織でインシデントが起きた時、どのような対応を? 強い組織を目指すために必要な備えとは――SBテクノロジー 辻 伸弘氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
3つ目は、障害の2日後に、経緯について説明するウェビナーを告知し、開催したことだ。それも1度きりではなく複数回開催し、議論を踏まえたFAQもまとめ、追って公開した。「顧客やメディアに向けて質問に答える場を即座に準備し、配信するというのは、組織の体制が準備できていないとなかなかできることではありません。矢面に立つのは怖いかもしれませんが、自分たちの姿勢を示すことのできる非常にいい対応だと感じました」(辻氏)
4つ目は、障害が発生してから事態が収束するまでの20日間に、事態の推移や復旧状況についてのこまめに情報を更新するだけでなく、顧客向けのレターを頻繁に送付したことだ。その内容もまた、communications hub上で公開されている。
興味深いのは、進展がない場合でも、謝罪や現在の取り組みについて説明するメールを送り、「自分たちは放置されているのではないか」という懸念を取り去る行動を継続したことだ。またメールには会社名ではなくCEOの署名が入っており、「こういったところからも、経営者がリーダーシップを取り、きちんと対応しようとしている姿が可視化されているように受け取りました」と辻氏。
そして5つ目の特筆すべき対応は、顧客向けの情報提供だけでなく、顧客が、さらにその顧客に当たる生徒や保護者向けに状況を説明できるよう、テンプレート文書をGoogle Document形式で配布したことだ。
日本でも、取引先のセキュリティ事故が原因で自社の顧客情報が漏洩するといった事故が複数発生しているが、その場合は、被害者でもあり加害者ともなった企業がそれぞれ独自に説明をすることが多い。これに対してFinalsiteでは、学校名の部分などを記入するだけで配布できるテンプレートを提供することで、情報が一人歩きしないように統制を取りつつ、憶測を生まないような対応を行った。「これはなかなか珍しく、しかも優れた対応であり、僕も参考にしようと思いました」と辻氏は高く評価した。
Finalsiteの一連の対応に共通しているのは“顧客”を主語にしていることだ。「仕事をしていると、主語が自分たちになりがちです。しかしこの組織は全て主語が顧客や世の中で、どうすれば顧客が安心できるのかを徹頭徹尾考えていたように感じました」(辻氏)
そして、この対応を他山の石とし、「自分たちが同じような被害に遭ったときに、ここまでの対応をどのくらいのスピード感で行えるのか、できなければどうすればそれができる強い組織になるのかを考えてほしい」と呼びかけた。
「自分たちなら、どう対応できる?」から始める強い組織に向けた第一歩
最後に辻氏は、サイバー情勢を背景に世界各国で進むさまざまな法制度の整備状況も紹介した。
例えば米国では、SECが上場企業に対し、「重大なサイバーインシデントが発生した場合には4営業日以内に開示をしなければならない」と義務付けている。またオーストラリアでは、ランサムウェアに感染して身代金を支払った企業に状況を開示することを求め、従わない場合には1万5000ドル以上の罰金を科す法案が提出された。
一方日本では、辻氏も加わる「サイバー安全保障分野での対応能力の向上に向けた有識者会議」での検討がなされ、その提言が通常国会で提出される。この議論では、「官民連携の強化」「通信情報を利用した攻撃者サーバの検知」「無害化措置」の3本柱を軸とした能動的サイバー防御の在り方が検討されている。情報共有などを進める中では、通信事業者をはじめ、さまざまな企業にも関係してくる可能性がある。
辻氏は、「自分たちが規制の対象になったり、調査の協力を求められたりしたときに備え、どういった準備ができるのか」についても説明した。
ある日突然何かやれ、協力せよと言われてもおそらく難しい話であり、事前の準備が必要だ。辻氏は、経済産業省の「サイバーセキュリティ経営ガイドライン」の「付録C サイバーセキュリティインシデントに備えるための参考情報」を紹介した。この付録Cは、初動、原因調査、事後対応という3つのフェーズに分けて、具体的にどういった情報を把握し、対処をすべきかをExcel形式でまとめている。
インシデントが起きたときの情報収集に役立つのはもちろんだが、もし自分たちのところでこういったインシデントが起きたとき、この表を埋めることができるのかという視点で活用することも可能だ。表を埋めるのに必要な準備やシステムが整っているかを確認し、自分たちの組織の強さを測るために活用してほしいとした。
最後に辻氏は、講演の中で紹介したFinalsiteなどの例を踏まえ、「自分たちの場合はどのように対応できるのか、はたまたできなくてもいいのか、あるいはできるようにするには誰にアプローチすればいいのかといったことを考え、形にしていってください」と呼びかけた。
そうした取り組みを進めるには、組織として問題を解決していく力と、想定外を作らないようにする準備力、そして、主語を他人にして情報を提供できるような透明性といった力が必要だ。そうした力を兼ね備えた組織こそが「強い組織」であり、顧客や社会から高い評価を得られるのではないかとした。
もちろん、それら全ての要素について完璧を目指すのは無理かもしれない。しかし「完璧ではなくとも、どうすれば最善を尽くすことができるかを考えてみてください」(辻氏)
関連記事
- AI駆動型攻撃が現実となる時代に求められるセキュリティ対策と専門家の役割とは――名和利男氏
- 2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏
- 迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏
- 10年の経験を経たRecruit-CSIRTに見る、平時とこれからのCSIRTのあり方――リクルート 鴨志田昭輝氏
- 予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏
- デジタルアイデンティティこそがデジタル覇権の行方を左右する――東京デジタルアイディアーズ崎村夏彦氏
- 経営層と現場の間に横たわるギャップ解消のために心がけたい3つのポイント ――Armoris 取締役専務 CTO 鎌田敬介氏
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- サイバーセキュリティだけ「特別扱い」には無理がある――経営を脅かすリスクの1つと位置付け、メリハリのある対策を
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- ビジネスマンが睡眠を向上させ能力を進化させるために知っておくべき、7つの睡眠戦略
- 2025年に行くべき新施設3選
- ホンダが人材力強化へ新戦略 部長年収200万〜300万円引き上げ、定年も一部廃止
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- 「日本のインターネットの父」が読み解く文明の未来 慶應義塾大教授、村井純氏
- アイスペース、着陸も成功なら日本企業の存在感向上 宇宙ビジネス市場での地位構築へ
- 大阪がランクイン、ニューヨーク・タイムズが2025年に行くべき街を発表
- 自らも直面した、想定外のリスク、想定外に備える鍵は、実効的なマニュアル整備と定期的な訓練――コンサルタント 結城則尚氏
- 脆弱性対応「何かあったら対応します」では遅すぎる。サイバー・カルチャーを変えていくことから始めよう
- 生成AI開発を念頭 産総研がスパコンを刷新、「ABCI3.0」の一般向け提供始まる
新着記事
- パナソニック、配線事業でベトナム拠点にカンボジア進出 自動化で生産量1.7倍に
- ITmedia エグゼクティブセミナーリポート:自分たちの組織でインシデントが起きた時、どのような対応を? 強い組織を目指すために必要な備えとは――SBテクノロジー 辻 伸弘氏
- 生成AI開発を念頭 産総研がスパコンを刷新、「ABCI3.0」の一般向け提供始まる
- ITmedia エグゼクティブセミナーリポート:自らも直面した、想定外のリスク、想定外に備える鍵は、実効的なマニュアル整備と定期的な訓練――コンサルタント 結城則尚氏
- タイムアウト東京のオススメ:インドネシアを拠点にする注目のアーティスト、今津景の初の大規模個展が開催
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
2025年
ITmediaはアイティメディア株式会社の登録商標です。