吉川：では、ここまで話したような備えをどのようにするか、という点についてはいかがでしょう。自分の立場で言うのもなんですが、何かあった際「対外的な発表に向けた動きはどうする」「記者対応はどうする」という訓練までしている企業は、そこまで多くないんじゃないかと思うんですよね。どのように備えるのが正解なのでしょうか。

CSIRT（セキュリティインシデントに対応する社内組織）を含め社内でで対応すべき事項をまとめた図（NRIセキュアテクノロジーズ提供）

山口さん：実際にインシデントが起きたとき、企業としてどのように動くべきかを確認するサイバーセキュリティ演習のようなものがあります。（インシデント対応の）現場のみでやるケースもありますが、経営層、広報、法務、人事、総務なども集まって被害の状況を整理し、セキュリティ担当者以外も含めてどう対応すべきか検討する形の演習も多くなってきています。

吉川：いわゆる「サイバーレジリエンス」（サイバー攻撃を受ける前提で、被害を最小限にとどめて早期にシステムを復旧させるための考え方）ですね。自分も同様のケースを取材したことがあります。やはりその重要性も高まっていると。

山口さん：経団連や関係省庁の動きからしても、経営層がサイバーセキュリティを認知して対応すべき、という理解が世間的にも広がってきています。また10年前と比べると、株主や記者もサイバー攻撃に敏感になっています。

　例えばインシデントがあったとき、社内情報がマスコミを通して漏れてしまうと、結果として企業は説明責任を果たしにくくなる。インシデントが発生した際にはこういう対応をしました、と（企業自ら）説明責任を果たせるかどうかも、訓練の有無で変わると思います。

吉川：セキュリティインシデントに限りませんが、他社媒体でもトラブルの後に「実は○○社が原因だった！」と示唆する報道をよく見かけますね。確かに、最悪のケースの一つかもしれません。

会見？　Web？　正しい発表の場は

吉川：次に、インシデントを発表する“場”についての考え方をお聞かせください。先ほど全7レベルの対応を見せていただきました。ただ、自分としては特にレベル4～6は大きな違いがない印象です。SNS時代ですし、Web上の発表は誰かに見つけられるので「発表をしない」「Web上で発表する」「会見をする」以上の差を見いだせないなと。この辺りはどう切り分けられるのでしょうか。

再掲：インシデントの分類と公表基準（NRIセキュアテクノロジーズ提供）

山口さん：公表の必要がない事態は別として、あまり大ごとにしたくないが、公表しないことによるレピュテーションリスクも抱える企業が、レベル4～5で済ますことはあるかなと。

吉川：確かに、記者向けに情報が送られないパターンでは、気付くのが遅れることはありますね。結局はSNSなど記者自身の情報網で気付きはしますが。では、会見をするしないの判断はどうなるのでしょうか。

　あくまで個人的な感覚ですが、数十万～数百万件規模の漏えいや、億単位の金銭的被害があると「会見はいつだ」という声が見られる気がします。人命や税金がかかわる医療・教育・自治体などは例外ですが。

山口さん：過去にレベル7、記者会見の内容について対応したことがあります。恐らくではあるのですが、（当時の会見は）企業のブランドを守るため、社長自ら事後対応について強くメッセージングするものでした。報道向けのレベル6、会見をするレベル7になってくると、そういった広報戦略も絡んでくるのではないか思います。

吉川：説明責任を求められる場合は、会見をすべきという考え方ですね。ちなみに、記者会見がある際は、どのようなアドバイスをするのでしょうか。

山口さん：セキュリティの観点でいえば「不確かな情報を言ってはいけない」と伝えています。確実な情報は説明すべきですが、例えば攻撃手法や脆弱性についての不確かな情報は「自分も攻撃されるのでは」「自分も対象になるのでは」と不安を増長させ、SNSでの（ネガティブな）反応も増大します。

　それ以外は、なぜ事態が起きたのかやその裏付け、誰が対応したのかといった企業としての取り組みの話をすべきと伝えています。

吉川：なるほど。SNSやニュースポータルでは「会見には社長が出ろ」「いや技術が分かっている人間が出ろ」と正反対な意見が飛び交うのも見られますが、誰がどんな内容を話すべき、という点はどうでしょうか。

山口さん：ある通信系の社長さんは知識豊富で、記者からの技術的な質問にも回答できており、企業のトップとしてあるべき姿と思います。ただ、全員が全員同じ対応を取るのは難しい。

木村さん：重要なのは場の役割だと思うんですよね。記者会見は、企業の責任ある立場の人が顔を見せて、今後誠意ある対応をします、というのを社会に対して約束する場だと思います。もちろん詳しい人が説明することも重要ですが、それ自体は会見の場ではなく、書面でも対応できますし。

吉川：確かに、いわゆる“謝罪”は会見で、詳細は後日資料や書面で、というケースも見受けられます。あるいは謝罪と詳細の説明を、経営層と現場で手分けしているケースもありますね。あとは謝罪の場と、詳細説明の場を別々に設ける場合もあるでしょうか。

　以前取材したことがあるのですが、経営者の中には会見のトレーニングをしている方もいるそうです。一方で、現場の技術職の方がそういった訓練をしているとは限らないですし、情報を受け取る・発信する側としても切り分けが必要なのかもしれません。ただ、いち労働者としては、なるべく単一の場で行ってもらう方が楽ではあります。

被害発表＝制裁にしない

「もしサイバー攻撃を受けたら？」を考えたことはありますか　ITセキュリティの新常識「サイバーレジリエンス」を理解する
セキュリティの注目ワード「サイバーレジリエンス」について解説。新しい考え方が求められる背景と合わせて説明する。
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏　「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入　Sansanが本当にやった“何でもアリ”なセキュリティ演習
標的型攻撃メールから物理侵入まで、Sansanが本当にやった何でもアリなセキュリティ訓練。携わってメンバーに話を聞いた。
プロに聞く「ペネトレーションテストはいつすべき？」　“わざと自社にサイバー攻撃”訓練に求められる覚悟
「うちもやったほうがいいのかな」というあいまいな理由だけでペネトレーションテストを実施しても、投資に見合った効果が得られるかというと疑問が残る。どうせ実施するならば、実のある診断・演習を実施したいものだ。どういったポイントに留意して取り組むべきか。