サイバー攻撃に対応しうるPR戦略とは

2016年3月8日

アメリカのオバマ大統領は2013年2月12日、国家安全保障上の最重要課題のひとつとして、主要インフラに対するサイバー攻撃の脅威を特定するよう行政命令を発令しました。各行政機関は国の主要インフラに対し、サイバーセキュリティと継続的な運営を維持できるよう最新の措置を講じるべきだとして、具体的な方策が示されたのです。それ以降、世界中の政府機関・企業はサイバーセキュリティに関わる事象に次々と脅かされています。それにより広報・PRの実務家の皆さんにはこれまでになく、サイバー攻撃の要因と影響、サイバーセキュリティ事象の発生に関わる甚大なリスクについて、十分な知識を身につけることが求められているのです。

Credit: ra2studio / 123RF Stock Photo

こうした脅威の頻度と複雑さが増すにつれ、ブランドの維持と公明正大な広報活動の実施のためには、皆さんはサイバーセキュリティに関するコミュニケーション戦略を危機対応のツールキットに盛り込む必要が出てきます。複雑で技術的な話題に直面することになるので、PRの実務家である皆さんにとっては大変難しい挑戦になるはずです。サイバーセキュリティ関連の専門用語は日々その数を増し、かつ極めて複雑になってゆくので、技術的な理解が不足していれば、広報活動に大きな混乱を引き起こしかねません。

これまで話題になったサイバー攻撃における、コミュニケーション”失策”といえば……最も大々的に報じられたサイバー攻撃のひとつといえるTargetの情報漏えい(2013年11月)や、アンセム生命保険の情報漏えい(2015年2月)、安全保障上の信頼を大いに傷つけた米連邦人事管理局に対する攻撃(2015年6月)、ユナイテッド航空の情報漏えい(2015年7月)が挙げられるでしょう。サイバー攻撃のリスクを免れる組織などないこと、そしてその経済的損失が計り知れないことは明らかです。サイバーセキュリティ大手のPonemon社は2015年10月、アメリカのサイバー犯罪にかかる費用について調査結果を公開し、”ベンチマークを行った58組織の費用は一社あたり年間190万ドルから6500万ドルまで幅があり、平均は年間1500万ドル”だったとしています。

PRの実務家である我々には、それぞれの組織の評判が委ねられています。すなわち、明確な意図と目的のもと、組織の信用をより強固にできるような簡潔な語り口を用いて、技術的な課題についてコミュニケーションがとれるよう訓練すべきということです。簡潔かつ毅然としたコミュニケーションによって、被害を軽減するために企業がとりうる措置を明らかにしなければなりません。皆さんは、非常に高度化した技術的な情報を理解したうえで、明確かつまとまった形でコミュニケーションをとる――つまり、高度で技術的な情報を用いたコミュニケーションに詳しくなる必要があるといえます。

サイバーセキュリティ対応戦略の策定

PRやコミュニケーションの実務家は、サイバーセキュリティの危機対応戦略を策定・遵守し、そのコミュニケーション方針を受け入れなければなりません。戦略の目的・意図の要とすべきは”透明性”ですが、策定の具体的なステップとして、以下の5つが挙げられます。

1.部門横断的かつ多様なサイバーセキュリティの緊急対応を行うチームを組織する。

2.サイバーセキュリティに関わる複雑な状況において、組織の保護に長けた法律顧問を選定する。可能であれば、外部のコミュニケーション専門家を交えて計画を行うこと。

3.サイバーセキュリティの事象に関する計画・対応の責任者として、コミュニケーションの実務家を任命する。

4. 流行しているサイバー攻撃やリスクを包括的に理解するため、技術者のチームによる情報交換の場へ定期的に参加する。対応戦略の評価を継続的に行い、(計画したコミュニケーション戦略が賞賛されるような)サイバーセキュリティに対する認知度が高い組織文化を築く。

5.計画の有効性を決定するために、自身の組織に対してシナリオベースの試験を行う。訂正調査を用いて、セキュリティとID認証システムをテストする。仮想の敵を想定し、組織に起こりうる脅威について検討する。

攻撃者の目的の理解

特定のサイバーセキュリティに関するコミュニケーションの目標を設定するため、任命されたコミュニケーションの実務家はまず攻撃の目的を理解しなければなりません。アドバイザーとしての技術者は、攻撃に関する技術的な分析をリアルタイムに提供し、疑われる目的、意図、対象の的を絞る手助けをしてくれます。

攻撃は知的財産を狙ったものか? 営業秘密か極秘情報か、区分化されたデータか? 財務または消費者の情報か? ――技術者チームは考えうるあらゆる動機の分析を行います。あなたのチームは攻撃について何を理解しているでしょうか?こうした質問のひとつひとつに答えていくことで、あなたのサイバーセキュリティ対応戦略が確固たるものになっていきます。計画を徹底すること、あらかじめ準備しておいたシナリオに従うことを忘れないように。

法律顧問への相談と政府機関との連携

Baker Hostetler 社は、各国のプライバシー関連法案、および各国においてデータ漏洩・侵害が発生した際に必要となる処置を一覧にまとめています。アメリカの場合、サイバー・インシデント・レスポンス・センターを通じて、その事象をただちに国土安全保障省に報告しなければなりません。

自組織を守るためには、法律顧問の指示に従うことです。危機を乗り切る際、連邦当局に対する透明性が保たれると共に、当局との密接な連携体制づくりという極めて重要な過程になるでしょう。

透明性を通じた信用の強化

多数の組織が、サイバー攻撃関連のコミュニケーションにおいて公的な透明性を示すことに失敗し、信頼と組織としての自信、さらには株主価値を損ないます。PRとコミュニケーション戦略のリーダーである皆さんにとって義務となるのは、知りうることを共有し、世間に対し透明性の高いコミュニケーションを行うことです。

そして唯一注意すべきなのは、当局による現行の捜査の妨害をしないこと。これは、危機対応ツールキットの一部であると共に、声明を撤回・訂正しなければならなくなる可能性を低め、事実関係が明らかになった際に情報の配信を減らしていくためのひとつの手段ともいえます。組織が対応戦略とシナリオをコントロールし、危機的な風評被害を最小限にするために、透明性の高いコミュニケーションが求められるのです。

計画に対する自信を持つこと

サイバーセキュリティの脅威は、現実的なものとして積極的に取り組まれるべき課題です。簡潔な危機対応戦略に従い、可能であれば外部の専門機関を活用することにより、組織は十分なリソースをもってしてサイバー攻撃対策に自信を備えることができるでしょう。サイバーセキュリティに関わる最新のトレンドに、常に敏感になっておくこと。 よく使われる専門用語に慣れ、技術スタッフやセキュリティ専門家に質問すること。 そして、策定した計画を徹底的にテストし、関連するコミュニケーションを確実に成功させるために実地試験も行うこと。コミュニケーション戦略における積極的なサイバーセキュリティ対策によって、被害を最小限にとどめると共に、皆さんの組織のステークホルダーとの信頼を強化し、ポジティブな結果へとつなげることができるでしょう。

Christopher-Donahue

クリストファー・ドナフェ

クリストファー・ドナフェは、企業や公的機関における、様々なサイバーセキュリティー関連事象のコンサルティングを行う危機管理広報ファーム、Liquid Strategic Public Relationsのシニア・パートナー。 著書” the Anatomy of a Crisis”を2016年10月に出版予定。危機、警察・司法当局との連携、ローカル・国営メディアとの統合、ステークホルダー・リレーションシップ、社内外のコミュニケーション戦略、イシュー・マネジメント、ハイリスクの交渉、訴訟前交渉ストラテジー、パブリック・エンゲージメント、詐欺検知・説得に関する講演も数多く行っています。

File Under:

Featured Article, Features, February 2016

記事原文はこちら:

http://cw.iabc.com/2016/02/03/pr-strategy-cyberattacks/