攻撃発生 今、情シスが取るべき“危機コミュニケーション”の鉄則:初動のミスが「命取り」に
セキュリティ事故発生時の説明責任を果たす準備はできているか。混乱下での場当たり的な発信は企業のブランド失墜を招く。平時に策定しておきたいコミュニケーション計画とは。
セキュリティ事故が発生した際のコミュニケーションは、企業のインシデント対処計画の重要な要素だ。インシデント対処計画の他の要素と同様に、企業はセキュリティ事故が発生する前に、冷静にコミュニケーションプランを策定する必要がある。セキュリティ事故が起きた後の緊迫した環境下で慌ててコミュニケーションプランを立てようとすると、失敗を招きかねない。
本稿は、危機コミュニケーションプラン策定のための具体的な「6つのステップ」を紹介する。
1.経営層を巻き込む
攻撃やその他のセキュリティ事故が発生した際のコミュニケーションプランを策定するときは、経営層や法務、人事、マーケティング、広報などの他部門に参加してもらい、部門横断的な形で取り組むことが重要だ。策定後は、経営層から最終承認を得る。
2.基準に基づいてプランを構築する
セキュリティ全般やインシデント対処、危機コミュニケーションに関する基準や規制、フレームワークを確認する。例えば、EU(欧州連合)の一般データ保護規則(GDPR)や、カリフォルニア州消費者プライバシー法(CCPA)といった規制を受ける企業は、インシデント対処のコミュニケーションプランがこれらの要件を満たしていることを確認する必要がある。
3.インシデント対処チームの招集プロセスを確立する
インシデント対処コミュニケーションプランの第一歩は、インシデント対処チームの起動だ。セキュリティ事故の疑いがあったら、セキュリティオペレーションセンター(SOC)に連絡する手順を全ての従業員に知らせる必要がある。SOCは従業員から提供された情報を基に、インシデント対処チームの起動が必要かどうかを判断する。
インシデント対処チームは、迅速に動くことが重要だ。そのために、「PagerDuty」や「FireHydrant」などのインシデント管理ツールの他、「AlertMedia」といった緊急通知システムの導入を検討する。これらのツールは、インシデント対処のスケジューリングやアラートメッセージの送信を管理しやすくする。AI(人工知能)技術を組み込んでインシデント対処の自動化を図れるツールもある。
4.コミュニケーション担当者を指定する
セキュリティ事故が公になると、従業員や顧客、取引先、メディア、規制当局などが関連情報を求める。その情報提供を統括するために、コミュニケーション担当者を決める。コミュニケーション担当者は、誤った情報が出回らないように制御し、社内外の関係者に明確な情報が伝わることをミッションとする。
コミュニケーション担当者は、深い技術的知識を持つ必要はないが、技術情報を整理しつつ一般的な言葉に翻訳する能力が求められる。あらかじめ用語集を用意し、言葉づかいがぶれないよう、用語集に沿って情報を伝えると良いだろう。
5.ソーシャルメディアを監視する
ソーシャルメディアは、企業と外部の間の重要なコミュニケーションチャネルだ。消費者は、企業に対する不満を公然と表明するのが早い傾向にある。そのため、ソーシャルメディアへの投稿を定期的に監視することは、特に危機の際に欠かせない。
ソーシャルメディアを監視すれば、インシデント対処チームが消費者の感情を把握し、噂が制御不能になる前に迅速な介入が可能になる。ソーシャルメディアで得た情報を基に、インシデント対処やコミュニケーションの優先順位が決めやすくなる場合もある。
6.従業員向けトレーニングを実施する
全ての従業員に対し、セキュリティ事故が発生し危機コミュニケーションが必要になったときの役割と責任についてトレーニングを実施する。トレーニング内容には、SOCへの情報提供の手順や、インシデント発生時に「誰と何を話すべきか」といったことが含まれる。定期的にトレーニング内容を見直し、従業員が最新の情報を把握しているかどうかの確認も重要だ。
Copyright © ITmedia, Inc. All Rights Reserved.