IT & Information security Journal
近年、セキュリティインシデントの報道が後を絶たないなか、被害企業による広報対応への注目度も高まっています。ひとたび事故が発生すれば、社会的な信用を大きく損なう可能性があり、その対応方法によっては、さらなる炎上を招きかねません。
インシデントの発生時には、速やかな情報開示が重要です。また、その規模によっては経営トップによる会見が必要なこともあります。しかし、対外的に発信する内容やタイミング、発信者の選定には難しい判断を要します。
こうした状況を背景として、ITジャーナリストの三上洋氏は、2024年12月10日に開催された「Security Innovation Conference 2024 Winter 〜DX時代のセキュリティ対策〜」で、「インシデントのメディア報道と企業の危機管理広報」と題して講演しました。
本記事では、近年行われた会見の好例・悪例や、メディア側の視点・思考を踏まえた危機管理広報を成功させるためのポイントを解説した講演の模様を紹介します。
この記事のポイント
委託先がセキュリティ攻撃を受けることで、委託元にまで被害が及ぶケースが増えている。そのため、どの企業でも情報漏洩が発生し得るという前提に立ち、有事の対外的な発信方法(危機管理広報)についてシミュレーションしておく必要がある
危機管理広報のポイントは、「会見を開く場合、できるだけ早くすること」「会見には現場がわかるトップが必ず出席すること」「インシデント規模に応じたメディア対応を行うこと」
会見を開くことで炎上する可能性はあるが、炎上を恐れて会見を避けることは逆効果であり、問題が長期化する原因となる
冒頭、三上氏は近年のセキュリティインシデントにまつわる傾向として、ランサムウェアによる被害が圧倒的に目立っていることに触れました。特に2022年以降は、警察に届けられた被害だけでも、半年で100件以上にのぼる状況で、「2024年の下半期はもっとすごい数字になりそうだ」と、三上氏は推察します。
そうしたなか、傾向に変化が見られるのがランサムウェア攻撃の「経路」です。従来から、VPN機器の脆弱性を利用した攻撃が大半を占めてきましたが、この1~2年、ID・パスワードの設定・管理が甘いリモートデスクトップのシステムから侵入されるケースが増えています。
「これからのランサムウェア対策では、VPNの脆弱性への対応に加えて、リモートデスクトップ周りのログインの仕様を見直す必要がある。具体的には、リモートデスクトップに2要素認証を導入するといったことが重要だ」(三上氏)
また三上氏は、企業の委託先がランサムウェアの被害に遭うことで、委託元の情報が漏洩するインシデントの発生が目立ってきていると指摘し、いくつかの事例を紹介しました。
2024年に発生したインシデントの1つが、株式会社イセトーのランサムウェア被害です。印刷、DMの発送代行等を行う同社は、多数の大手企業や自治体から業務を受託していました。攻撃者によりデータが窃取された一因として、本来であれば業務終了後には速やかに削除すべきデータを残してしまっていたこともあり、多くのメディアで取り上げられました 1。
さらに、2024年9月には、物流代行サービスを提供する株式会社関通がランサムウェアに感染。これに伴い、銀行、放送局、食品、化粧品、オフィス用品など多くの業種の企業が、自社の情報の流出可能性について公表する事態となりました 2。
また、業務の再委託先がランサムウェア攻撃を受けたことで、被害に巻き込まれてしまったケースもあります。たとえばセキスイ健康保険組合は、その基幹システムの管理・運用を一般財団法人関西情報センターに委託していましたが、その再委託先である株式会社ヒロケイがランサムウェアに感染したことから、被害の巻き添えになりました 3。
ここまでにあげられた委託先企業は、いずれもプライバシーマークを取得していました。また、委託元のセキュリティ基準もクリアしたうえで業務を受けているはずですが、結果としてセキュリティ被害が発生しています。三上氏は「悪い言い方ではありますが、マークや基準がセキュリティの高さを担保できていない」と警鐘を鳴らし、「委託先で情報漏洩が起きるかもしれないという想定を企業が持たなければいけない。どの企業でも漏洩が起きるという前提で準備しなくてはいけないということだ」と語ります。
その準備の1つが、被害状況の公表方法・時期といった、いわゆる危機管理広報の流れについて、被害に遭う前提でシミュレーションしておくということです。
たとえば、委託先からの情報漏洩の場合、その被害は委託元である多くの企業にも及びます。メディアへの出演も多い三上氏は、委託元企業として複数社と同時にセキュリティ被害に遭った場合は「(他の委託元企業と)横並びでチャッチャと被害を公表するのがベストだ」とアドバイスします。
「メディア視点での話をすると、直接の被害を受けた委託先による発表内容はもちろん記事にもするし、番組にもするだろう。しかし、何十社とある委託元について1社1社追いかけることはない。そのため、トラブルが起きた場合は即座に発表することが、自社のイメージを守るためにはベター……というか、ぎりぎり取り得る選択だと思われる」(三上氏)
続いて三上氏は、近年の危機管理広報における好例・悪例を紹介しました。
悪例としてまず紹介されたのが、株式会社KADOKAWAのケースです。同社は2024年6月にランサムウェア攻撃を受けました。グループ会社が運営するニコニコ動画が復旧するまでに約2か月を要するなど、多大な被害を受けています。被害額は売上高で77億円、営業利益で47億円の減少になるとされています 4。さらに、攻撃者が窃取したとされるデータがダークウェブ上に流出するという事態も発生しました。
三上氏は、同社の報道発表や対応について、まず、ランサムウェアによる被害だと発表するまでに1週間以上かかったことを問題点としてあげます。また、一部メディアが「身代金を払ったという証拠がある」と報道したことに対して、同社は否定も肯定もしませんでした。この点について三上氏は、「コメントを出すことで攻撃者との交渉に悪影響が生じることも考えられ、仕方がない側面もあるが、コメントをしないがゆえに様々な憶測が飛びかい、KADOKAWA全体の信用度にまで影響を及ぼす事態になってしまった」と振り返りました。
加えて、同社はメディアを集めた会見を行わず、随時、プレスリリースやコメント、囲み取材対応等で情報を出すという方法をとったことも、報道の長期化につながったと三上氏は指摘します。
「KADOKAWAとしては『会見をしない』という一定の方針に基づいてやっていたのだろうが、結果としてメディア側はあまり良い反応を示さず、報道が長期化して悪影響が出ていると思われる」(三上氏)
また、会見が大きなトラブルにつながった事例として、三上氏は尼崎市のUSB紛失事件(2022年)をあげました。尼崎市民の個人情報が記録されたUSBを再々委託先の職員が紛失したという事件です(後にUSBは発見)。関係者には、会見に臨もうという誠意はあったものの、尼崎市と委託先企業が別々に会見を行ったことで、発表内容の一部に矛盾が生じてしまったといいます。
3つ目の事例として、2020年に起きたドコモ口座事件があげられました。これは、ドコモ口座への入金時、ゆうちょ銀行の本人確認が甘く、犯罪グループに悪用されたという事件です。ゆうちょ銀行の会見ではトップが内容を把握しておらず、詳細を実務担当者に話させるだけになったことから、全体像や問題点がぼやけてしまいました。
「結局トップはわかってないね、ということを印象付けるよくない会見だった」(三上氏)
4つ目は、2023年に発覚したNTT西日本の子会社であるNTTビジネスソリューションズ株式会社の内部不正による情報流出事件です。被害は多数の企業、団体、自治体に及びましたが、会見はNTTビジネスソリューションズ株式会社の実務担当者のみによるもので、親会社であるNTT西日本のトップは出席しませんでした。
「NTT西日本がバックにいるため安心して業務を任せていた企業もあるなか、そのトップが何も言わないことには、かなりの批判が出た。会見の数日後に(NTT西日本のトップが)囲み取材で謝罪をしたが、時すでに遅し。翌年にはこのトップは引責辞任することになった」(三上氏)
会見がプラスに働いた例もあります。その一例が、2022年にKDDIが起こした大規模な通信障害に際しての会見です。会見では髙橋 誠社長が自ら詳細を発表し、質疑応答に対応しました。
「髙橋さんは叩き上げの方で、技術もわかっているしネットワークのこともわかっている。かなり細かい質問にもすべて自身で対応したことで評価が上がった」(三上氏)
2つ目の好例として三上氏は、トヨタ自動車による対応をあげます。2022年、トヨタ自動車はサプライヤー企業のランサムウェア感染により全工場を停止する事態に陥りました。しかしその後、自社メディア「トヨタイムズ」で、このインシデントの経緯や対応などを記録した映像作品をつくり(2023年)、その内情を明らかにしました。これが逆にトヨタの評価を上げることになったと三上氏は紹介しました。
ここまでの好例・悪例も踏まえて、三上氏は危機管理広報のポイントを以下のとおり解説します。
最初のポイントは「会見を開く場合、できるだけ早くすること」です。もしも早期の会見が行えない場合は、一定の情報を集めてから行うことが重要で、会見が遅れれば遅れるほどメディアでの印象は悪くなります。
「会見を開けば大炎上する。これは覚悟しないといけない。炎上したくないから会見をしないというのは逆効果になる。炎上対応を含めて情報を出し切れば、その後は燃え尽きて落ち着く。しかし会見を行わないと、炎がずっと燻り続けてしまう」(三上氏)
2つ目のポイントは「会見には現場のことがわかるトップが必ず出席すること」です。社長、会長ら経営上のトップと、現場がわかるトップ、両方が会見に出席しなければならないと三上氏はいいます。会見対応そのものが企業の評価につながるため、必ず「わかるトップ」の出席が必要です。
「会見が終わった後は、SNSやテレビがどんな反応をしたかという『風の観測』もしたほうがよいだろう」(三上氏)
3つ目は、「インシデント規模に応じたメディア対応を行うこと」です。具体的には、広く国民に直接影響があるか、今までに同種の事故があったかが、インシデント規模の判断材料になります。小規模なインシデントであれば、プレスリリースなどで発表するだけで問題ない場合もあります。
三上氏は講演のまとめとして、適切な対応をとるためには、トップがインシデントを経営の危機と捉えること、そして必ずトップが全体指揮を執って危機感理広報に臨むことが大切だと強調します。そのためには事前のシミュレーション、そして広報の実際の動きを練習しておくことが欠かせません。
また、三上氏は「非常にオールドメディア的な発想ですが」と前置きしながら、「新聞・報道記者への対応を重視してもらいたい」と語ります。これは、インシデント報道の多くは、これらの記者が取材した内容がベースとなって他メディアに波及するためです。特に、新聞・報道記者の取材は電話による方法が主流のため、専用の電話窓口を用意しておくべきだといいます。
「記者も人間なので、『一生懸命対応しているな』『KDDIの社長さんみたいに、(実情を)わかっていて、頑張っているな』と感じれば、報道のニュアンスが変わってくる。そのため、会見では可能な限り本音を語ることや、『事実』『推測』『これからの対応』をきちんとわけてわかりやすく伝えることが大切。下手な小手先の方法に頼らず、誠実な対応を心掛けたほうがいいだろう」(三上氏)
(文:渡邊 智則)
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
この記事をシェアする
最新情報をフォローする