サイバー攻撃被害｢お詫び｣で好感得る企業の特徴 隠すのが主流だが透明性の高い対応が理想的

とはいえ、常に企業が完璧なセキュリティ対策を講じ続けることは困難だ。「修正プログラムが出て、すぐにそれを適用できるだけの人的・資金的なリソースを持った企業はほとんどない」と辻氏は話す。「自社は大丈夫」ではなく、どのような企業でも、いつかは被害に遭う可能性があるのだ。

被害企業も世間も「意識の変化」が必要

だからこそ、被害に遭ってしまったときが重要になる。「事故が起きてしまったことは決してよくないが、事後対応はそれとは別に考え評価すべき」だと辻氏は強調する。

そのためには、セキュリティ事故対応の情報公開に対する意識の変化が必要になるという。被害に遭った企業も、情報を受け取る世間の側もだ。

こうした問題意識から、辻氏はセキュリティ事故発生後に優れた対応を行った組織を表彰する「情報セキュリティ事故対応アワード」を立ち上げている。

その後の対応をきちんと行った企業と、そうでない企業とが同じように非難されるのはよくない。よい対応をした場合はきちんと評価することが必要と考えたからだ。

今年で9回目を迎える「情報セキュリティ事故対応アワード」は、セキュリティ事故の情報を広く公表する組織を増やし、その情報によって世の中全体のセキュリティレベル向上を実現することを目的に開催されている。最大の特徴は、事故発生後の対応についての「よい部分をほめる」ことだけにフォーカスしている点だ。

「セキュリティの専門家は、“厳しいことを言う怖い人”というイメージを持たれがち。そんなセキュリティの専門家が、積極的によい対応を評価してほめることで、意識を変えていこうという意図で実施しています」と辻氏はいう。

審査では、以下の4つの指標を基準に5人の審査員が選考を行い、受賞企業を選定している。

セミナー形式で開催される表彰式では、企業の担当者に事故発生当時のことを話してもらうことで、事故発生後の対応についてリアルな声を世間に届けている。

ノルウェー企業の透明性の高い驚異的な事後対応

では、事故発生後の理想的な対応とは具体的にどのようなものなのだろうか？ 非常に透明性の高い対応をした事例として辻氏が挙げるのが、ソフトウェアなどを提供するノルウェーの企業、ボリュー（Volue）だ。

ボリューでは、サイバー攻撃による異常を認知した同日にランサムウェアに感染していることを公表している。ここでポイントとなるのが、情報発信を自社のSNSアカウントを使って行っている点だ。