サイバー攻撃について広報が知っておくべきこと:法律的観点から
3 February 2016 ジェシカ バーネット・レモン
Communication World誌: PRや他のコミュニケーションのプロは、サイバーセキュリティーやサイバー攻撃の脅威について何を知っているべきだと思いますか。
ジョージ・マクガイヤ: サイバー攻撃の脅威は、大変現実の問題で、とても経費がかかり、危険である可能性があること。またサイバー攻撃は、より一層段々と頻繁になっていること、そしてあらゆる企業、幅広い様々な産業がリスクにさらされていることです。例えば、もはや莫大なクレジットカードデータを保管しているメジャーな小売業だけの問題ではないのです。
PRのプロは、自分たちとクライアントはこうした攻撃に対して手立てがないわけではないことを知るべきです。ビジネス界では、ゆっくりながらも確実にこの脅威を把握してきていて、PR事務所やクライアントが脅威に対して事前に防御策を講じることができるベストプラクティスや手順が数多くあります。
最後に、もしサイバー攻撃を受けている可能性があるクライアントを手助けする際には、弁護士とIT専門家/コンサルタントと常に相談して、PRプランを実行に移す前にどのような法的および技術的問題が先々に起こるか充分に理解することが欠かせません。
CW: あなたのご経験では、企業に対するサイバー攻撃で最もよくあるタイプはどのようなものですか。
GM: マルウェア、ソーシャル・エンジニアリング、フィッシングがよくあるタイプの外からのサイバー攻撃です。組織内からの攻撃も起こり得るのですが、しかもより簡単に起こります。攻撃の源を理解することは重要です。それが外からのハッカーなのか、あるいは内部のインサイダーなのか。それぞれのタイプには利点と不利な点がありますので、コミュニケーションのプロとしてはこれらそれぞれの特性を知っておく必要があります。例えば、インサイダーはシステムとデータに関してより深い知識があります。比較的長い期間に渡ってアクセスしていたかも知れません。データを利用することに個人的な動機があるかもしれません。しかし一般的には被害を食い止めて追跡することがより簡単です。外からのハッカーは、対照的に、スキルレベルが一般的により高く、捜査が難しい場合があり、動機も必ずしも不明です。
サイバー攻撃は、企業にとって経済的にも広報的にも影響は甚大になる可能性があります。典型的には、一度ネットワークに侵入されたら、侵入を突き止めて排除するまでネットワークを閉鎖する必要があります。このため、生産性は大きく落ち込んでパニック感に襲われます。ですので、緊急事案対策チームを直ぐに招集し、冷静を保って直ちに対策プランを実行することが役立ちます。もちろん、侵入されるとビジネスにとって重大な広報上の問題を引き起こす事もあり得ます。なぜなら、侵入された企業は消費者から信頼を失うことにつながるからです。
最後に、しかし確かに少なからぬこととして、侵入により、法的な事態を招く可能性があります。侵入の結果、個人情報を漏洩された消費者が集団訴訟を起こすことが今日では段々と一般的になってきています。
CW:広報のプロとしてこの種の危機に対して何を準備しておくことができるでしょうか。そしてそれは他のタイプの危機に備えることと違いがあるのでしょうか。
GM: 前もって計画を立て、サイバー脅威に関して勉強して、事態の推移に遅れないようにすることです。というのもこの領域は、素早く変わり続けているからです。クライアントがどのような情報を所有しているかは確認しておくことが重要です。ハッカーが欲しがるような情報、例えば、個人を識別できる情報(PII)(例えば、クレジットカード番号、ソーシャルセキュリティー番号等)、健康診断データ、金融情報(例えば銀行口座、暗証番号)、あるいは雇用記録(例えば個人ファイル)などです。ネットワークに不正にアクセスする何者かにとって価値がある機密情報の種類を理解しておくことは、ハッカーが何を求めてくるか企業は気付いていることになるので、少なくとも企業にとってハッカー対策の助けとなるでしょう。もしハッカーが何の情報を求めてくるか分かっていれば、あなたはその情報を防御するためにリソースを充当することができるのです。
上述した通り、侵入に対処する緊急対応プランを、侵入が起こる前に、用意しておくことが極めて重要です。良きプランを持ちあわせておくことは、いかなる侵入に対してもより一層効率的で効果的に対処することにつながります。米国司法省のサイバーセキュリティー・ユニットは、データ漏洩に対処するベストプラクティスを最近リリースしました。ここから始めると良いでしょう。司法省のwebサイトからアクセスできます。
経験豊富な弁護士チームとサイバー攻撃のコンサルタントと良好な関係を作り、一度危機が起こったら素早く助けてもらうことも大変重要です。
CW: あなたの見るところ、特に公衆との関係でサイバー攻撃に上手く対処した企業はありますか。何がうまくできたのでしょうか。
GM: サイバー攻撃に対処するにあたっては、予測できることは何もありません。ベストプラクティスや他のステップを実施することは確かにできますが、侵入事案は一つ一つ独特なものでケースバイケースで対処しなければなりません。ただ、効果的に対処した強力な一例は、Novice to Advanced Marketing Systems (以下“ノービス”)の事例です。ノービスのwebサイトがハッカーに侵入され、ノービスのオーナーに個人的なメッセージが投稿され、一定期間内に金銭を受領できなかったらノービスの顧客データを暴露すると脅しました。
ノービスは直ちにwebサイトを閉鎖して対処しました。ノービスのテクノロジー担当スタッフは、サーバを調べあげて侵入の原因となった悪意あるファイルを見つけ出しました。彼らはマルウェアを特定し10時間以内に排除することができました。対策チームは、なぜ攻撃が成功したのか診断して、治療措置(システムにパッチを当てる等)を取って侵入を招いた弱点をなくしました。ノービスの機密ファイルは、別のコンピューターに移し、同様の攻撃から守るために新たなセキュリティーソフトウェアとパスワードの防護策が講じられた後に、ネットワーク上で復元されました。
ノービスが準拠したマニュアルによれば、攻撃を止めるためにまずプラグを引き抜いて、技術的立場から何が悪意あるアクセスを許したのか見つけ出し、技術上の欠陥を修理して、攻撃を受けやすい弱点が潜んでいないか確かめて、――その間にセキュリティーを強化してからオンライン状態に戻ることを検討した。
ノービスは、このような攻撃で発生した顧客と関係する問題でも上手く対処しました。鍵となったのは、能動的措置です。ノービスは、顧客に連絡して侵入の事実を伝え、ハッキング行為そしてあるいはウェブサイトの閉鎖に伴う影響がある人に対してサービス料金の割引を申し出ました。実際、ノービスはウェブサイト復旧後に利用可能な新たなサービスを創り出すことまでしました。その結果、侵入事案にもかかわらず、ノービスは顧客の約99%を維持することができました。
CW: コミュニケーションチームのゴール、危機において迅速で透明性があることと、法務チームのゴールであるリスクから組織を安全に守ることとは、そもそも緊張関係にあります。いかにしてこの2つのチームが一緒に協力して共通のゴールを達成することができるのでしょうか。
GM: サイバー攻撃に対処するには、1つのチームになって作業することが欠かせません。チームには、法務、IT/技術(これは外部コンサルタントを含むべき)、そしてコミュニケーションが加わるべきです。チーム内のコミュニケーションは絶対に必要で、どのチームメンバー一人ですら他のメンバーと相談することなしに事を進めてはいけません。緊急事案対策チームを招集して、コミュニケーションの透明性を確保して定期的にステータスミーティングを持つことが重要です。クライアントは、緊急事案対策チームが一つになって戦略を作り上げて実行することで、規制当局や、恐らく法廷の場、そして世論の場においても効果的に対処できるようチームを頼りにしています。
サイバー攻撃を扱うPRのプロは、危機管理コミュニケーションに経験豊富であることが必要です。PRのプロは、「世論の法廷の弁護士」であり、どの主張が世間の共感を呼ぶか、そしてベストな展開方法は何かについては自分たちのアドバイスに従って調和を図るべきであるが、その一方で弁護士が関与することも重要な事で、世論形成の場でなされる主張がクライアントの法的戦略に合致していること、そしていかなる不利な法的影響も可能性がないことを確かにするために弁護士が必要なのです。最後に、展開するいかなるコミュニケーションもテクニカルチームのメンバーが精査して、技術上の詳細が正確に表現されるようにすることが必要です。
- ジェシカ バーネット・レモン